安 濤 馬文平 劉小雪

(西安電子科技大學(xué)綜合業(yè)務(wù)網(wǎng)國家重點(diǎn)實(shí)驗(yàn)室 陜西 西安 710071)

0 引 言

車輛自組織網(wǎng)(Vechicular Adhoc Network，VANET)是物聯(lián)網(wǎng)在公共交通領(lǐng)域上的一種應(yīng)用，車輛可以傳輸周邊的交通信息至交通指揮中心服務(wù)器，交通指揮中心服務(wù)器可以對交通信息進(jìn)行分析，并及時(shí)對交通路況進(jìn)行優(yōu)化。車輛自組織網(wǎng)由靜態(tài)節(jié)點(diǎn)和動(dòng)態(tài)節(jié)點(diǎn)組成，靜態(tài)傳感器部署在道路周圍基礎(chǔ)設(shè)施上的路側(cè)單元(Road Side Unit，RSU)充當(dāng)靜態(tài)節(jié)點(diǎn)，用于收集周邊行駛車輛發(fā)送的信息，車輛上的車載單元(On Board Units，OBU)充當(dāng)動(dòng)態(tài)節(jié)點(diǎn)。車輛自組織網(wǎng)中，通過動(dòng)態(tài)節(jié)點(diǎn)間通信(車輛與車輛)和動(dòng)態(tài)節(jié)點(diǎn)與靜態(tài)節(jié)點(diǎn)間通信(車輛與基礎(chǔ)設(shè)施)，實(shí)現(xiàn)信息共享[1]。

在實(shí)際應(yīng)用中，車輛可以從VANET中獲得實(shí)時(shí)的路況信息、擁塞避免、緊急情況和導(dǎo)航服務(wù)等。車輛在行駛過程中，會(huì)將周圍的路況信息通過無線信道廣播給周圍的車輛和RSU，但是由于信息在VANET中是在不可信的信道上傳輸，會(huì)產(chǎn)生如下一系列的數(shù)據(jù)隱私安全問題：(1)敵手可以惡意修改、偽造、丟棄信息，造成交通事故；(2)通過對車輛發(fā)送的信息進(jìn)行分析，從而獲取車輛的隱私，如車牌照、行駛路線等，導(dǎo)致違法行為的發(fā)生。因此，研究一種VANET中的車輛信息認(rèn)證方案是很有必要的。

目前，有效的認(rèn)證方案就是采用數(shù)字簽名技術(shù)，但是在車流量大、交通擁堵的情況下，RSU要驗(yàn)證大量的簽名，這會(huì)出現(xiàn)資源受限而導(dǎo)致驗(yàn)證效率低下的情況。針對這種情況，采用聚合簽名這種具有“批量驗(yàn)證”特性的簽名技術(shù)會(huì)大大提高驗(yàn)證效率。

聚合簽名的概念由Boneh等[2]首次提出。簡單來說，聚合簽名就是將多個(gè)簽名壓縮聚合成為一個(gè)簽名，驗(yàn)證者只需一次操作就可驗(yàn)證多個(gè)簽名，大大降低了計(jì)算復(fù)雜度，適合用于資源受限和計(jì)算能力較弱的網(wǎng)絡(luò)環(huán)境中。Gong等[3]首次提出了在隨機(jī)預(yù)言機(jī)(Random Oracle)模型下的可證明安全的無證書聚合簽名算法。Xiong等[4]提出了更為高效的方案，但He等[5]發(fā)現(xiàn)文獻(xiàn)[4]的方案在第 Ⅱ 類攻擊下是不安全的。侯紅霞等[6]在文獻(xiàn)[5]的基礎(chǔ)上，提出了更為安全的方案。王大星等[7]提出了一種適用于VANET的無證書聚合簽名方案，但是無法抵抗內(nèi)部簽名者的聯(lián)合攻擊。

本文采用國產(chǎn)密碼SM9[8]建立一種基于身份的聚合簽名方案，解決了證書管理問題。車輛采用假名進(jìn)行通信，保證了匿名性和可追蹤性，方案采用了聚合簽名技術(shù)，大大降低了RSU驗(yàn)證負(fù)擔(dān)，加快了VANET的通信速率。通過安全性證明，驗(yàn)證了本文方案的安全性。

1 預(yù)備知識

1.1 系統(tǒng)模型

VANET認(rèn)證系統(tǒng)模型由認(rèn)證中心、車載單元、路側(cè)單元和服務(wù)器組成，如圖1所示。

圖1 VANET認(rèn)證系統(tǒng)模型

認(rèn)證中心(Trusted Authority，TA)是車載網(wǎng)的安全認(rèn)證中心，是可信的第三方，用于管理VANET中車輛的身份信息。當(dāng)有新的車輛加入到車聯(lián)網(wǎng)中，TA會(huì)為車輛分配假名并進(jìn)行注冊。

OBU是部署在汽車上的通信節(jié)點(diǎn)，是車聯(lián)網(wǎng)的重要組成部分。車載單元在車聯(lián)網(wǎng)中主要充當(dāng)動(dòng)態(tài)節(jié)點(diǎn)，負(fù)責(zé)收集本車的數(shù)據(jù)信息，并將采集到的數(shù)據(jù)信息發(fā)送到車載網(wǎng)中。車載單元也可以作為傳輸節(jié)點(diǎn)負(fù)責(zé)轉(zhuǎn)發(fā)車載網(wǎng)信息，實(shí)現(xiàn)車載網(wǎng)的信息傳播。

RSU是路側(cè)單元，也是車載網(wǎng)的重要組成部分。路側(cè)單元作為固定的網(wǎng)絡(luò)節(jié)點(diǎn)，一般部署在紅綠燈、停車場、路邊，也被稱為基礎(chǔ)設(shè)施。路側(cè)單元可以作為傳輸節(jié)點(diǎn)，將車輛接入到車聯(lián)網(wǎng)中，將車載單元收集的數(shù)據(jù)信息上傳給服務(wù)器，或者傳輸給其他車輛，提供交通信息服務(wù)，同時(shí)也可以作為認(rèn)證節(jié)點(diǎn)，對車輛的信息進(jìn)行身份認(rèn)證，實(shí)現(xiàn)標(biāo)識驗(yàn)證服務(wù)。

服務(wù)器負(fù)責(zé)數(shù)據(jù)信息處理。路側(cè)單元將收集到的車聯(lián)網(wǎng)的數(shù)據(jù)信息進(jìn)行匯總上傳到服務(wù)器。服務(wù)器對收集到的交通信息進(jìn)行分析和處理，實(shí)現(xiàn)路徑優(yōu)化，解決交通擁堵問題，避免事故發(fā)生。

整個(gè)認(rèn)證流程為：

(1)注冊。車輛加入VANET之前要先向TA發(fā)起注冊請求，TA為車輛分發(fā)假名和密鑰。

(2)簽名。車輛使用TA分發(fā)的假名和密鑰對通信的信息進(jìn)行聚合簽名。

(3)認(rèn)證。RSU接收到周邊車輛發(fā)來的信息和聚合簽名，進(jìn)行批量驗(yàn)證，將通過認(rèn)證的信息上傳到服務(wù)器。

(4)追蹤。當(dāng)RSU驗(yàn)證簽名失敗或?qū)囕v進(jìn)行追責(zé)時(shí)，RSU將車輛的假名發(fā)送給TA，TA查詢真正的車輛身份。

1.2 雙線性對

設(shè)(G1,+)為一個(gè)階為素?cái)?shù)q的循環(huán)群，P為其生成元；(G2,+)為一個(gè)階為素?cái)?shù)q的循環(huán)群，定義雙線性映射e:G1×G1→G2有以下三條性質(zhì)。

(2)非退化性。對任意的X,Y∈G1，e(X,Y)≠1。

(3)可計(jì)算性。對任意的X,Y∈G1，存在一個(gè)有效的算法計(jì)算e(X,Y)。

1.3 K-CAA問題

2 基于SM9密碼算法的聚合簽名方案

2.1 系統(tǒng)建立

首先生成系統(tǒng)參數(shù)組，密鑰生成中心(KGC)選擇3個(gè)階數(shù)是素?cái)?shù)N(N>2λ)的循環(huán)群(G1,+)，(G2,+)，(G3,·)。P1是G1的生成元，P2是G2的生成元；存在從G2到G1的同態(tài)映射ψ，使得ψ(P2)=P1，并且有雙線性對e:G1×G2→G3。定義哈希函數(shù)Hv(Z,n)輸出的是長度為v(單位為b)的散列值。哈希函數(shù)H1(Z,n)的輸入為比特串Z和整數(shù)n，輸出整數(shù)h1∈[1,n-1]，H2(Z,n)的輸入為比特串Z和整數(shù)n，輸出整數(shù)h2∈[1,n-1]。

2.2 系統(tǒng)主密鑰生成

KGC將隨機(jī)選擇的s∈[1,n-1]作為系統(tǒng)主私鑰，并將s和P2的乘積作為系統(tǒng)主公鑰Ppub，Ppub=s·P2。

2.3 車輛注冊及密鑰分發(fā)

TA為認(rèn)證中心，主要負(fù)責(zé)對車輛進(jìn)行注冊，并且為注冊的車輛分發(fā)密鑰。車輛向TA發(fā)送注冊請求，為了保護(hù)車輛的隱私，TA為車輛分配假名PIDi，只有當(dāng)車輛發(fā)生不法行為被追責(zé)時(shí)，TA才會(huì)公布車輛真實(shí)身份IDi。TA選擇一個(gè)字節(jié)表示的私鑰生成識別符hid。車輛的真實(shí)身份標(biāo)識為IDi，計(jì)算PIDi=h1i，h1i=H1(IDi‖hid,N)，若TA審核通過，則為可信的車輛分發(fā)密鑰。

di=t2·P1=[s/(PIDi+s)]P1

(1)

車輛公鑰為：

Qi=PIDi·P2+Ppub

(2)

2.4 單個(gè)簽名

車輛在行駛過程中，會(huì)對周圍的交通路況信息進(jìn)行收集并發(fā)送給交通信息平臺，交通信息平臺會(huì)對收集到的信息進(jìn)行分析從而對當(dāng)前的交通情況進(jìn)行優(yōu)化。交通信息平臺收到的信息要確保可信，防止有敵手篡改車輛發(fā)送的消息干擾信息平臺的決策，于是對車輛發(fā)送的信息進(jìn)行數(shù)字簽名。

設(shè)待簽名的消息為mi，簽名者為車輛PIDi，簽名過程如下：

(1)計(jì)算群G3中的元素g=e(P1,Ppub)；

(2)隨機(jī)選擇ri∈[1,N-1]，計(jì)算群G3中的元素wi=gri；

(3)計(jì)算整數(shù)h2i=H2(mi‖wi,N)，計(jì)算整數(shù)Li=(ri-hi)modN，若L=0則重新選擇隨機(jī)數(shù)；

(4)計(jì)算群G1中的元素Si=Li·di，Ui=Si·PIDi，消息mi的簽名為(Si,Ui,wi)。

2.5 單個(gè)簽名驗(yàn)證

為了檢驗(yàn)收到的消息mi及其數(shù)字簽名(Si,Ui,wi)，過程如下：

(1)計(jì)算群G3中的元素g=e(P1,Ppub)，整數(shù)h2i=H2(mi‖wi,N)，ti=gh2i；

(2)計(jì)算群G3中的元素vi=e(Si,Qi)·ti，檢驗(yàn)vi是否等于wi，若成立，則驗(yàn)證成功。

2.6 簽名聚合

2.7 批量驗(yàn)證

3 方案分析

3.1 正確性

通過計(jì)算驗(yàn)證因子vi=wi來檢驗(yàn)簽名是否合法，其證明過程如下：

vi=e(Si,Qi)·ti=

e(Li·di,PIDi·P2+Ppub)·e(P1,Ppub)h2i=

e(Li·t2·P1,PIDi·P2+Ppub)·e(P1,Ppub)h2i=

e(Li·t2·P1,PIDi·P2)·e(Li·t2·P1,Ppub)·

e(P1,Ppub)h2i=

e(P1,Ppub)h2i=

e(P1,Ppub)(ri-h2i)modNe(P1,Ppub)h2i=

e(P1,Ppub)(ri-h2i)modN+h2imodN=wi

3.2 安全性證明

(1)Setup。C運(yùn)行Setup算法Ppub=R=sP2，s充當(dāng)系統(tǒng)主密鑰，s對C是未知的，C挑選身份IDi作為挑戰(zhàn)身份，發(fā)送系統(tǒng)參數(shù){P1,P2,Ppub,H1,H2}給A。

下面分析C在這個(gè)游戲中的優(yōu)勢：

(2)除非事件E1或E2發(fā)生，否則對于私鑰提取預(yù)言機(jī)和簽名預(yù)言機(jī)的回答是有效的。

(3)如果A偽造了一個(gè)有效的簽名和事件E3沒有發(fā)生，則C能解決qE-CAA問題的一個(gè)實(shí)例。所以整體來說，如果事件E1、E2和E3都不發(fā)生，則C就能解決qE-CAA問題的一個(gè)實(shí)例。

這些事件發(fā)生的概率計(jì)算如下：

而C的運(yùn)行時(shí)間為：

t′

綜上所述，有挑戰(zhàn)者C解決了qE-CAA，這與qE-CAA問題的假設(shè)矛盾，因此本文方案的聚合簽名是安全的。

3.3 不可偽造性

由安全性證明得知，本文基于SM9簽名算法的聚合簽名方案在適應(yīng)性選擇消息攻擊和身份攻擊下是能夠抵抗存在性偽造的，因此本方案具有不可偽造性。

3.4 隱私性

車輛在加入VANET前，要先將自己的真實(shí)身份IDi作為申請注冊的請求信息發(fā)送給認(rèn)證中心TA，TA執(zhí)行h1i=H1(IDi‖hid,N)操作計(jì)算假名PIDi=h1i，并將假名PIDi返回給車輛。除了TA之外不會(huì)有任何第三方知道車輛的真實(shí)身份，在之后的通信過程中，車輛將使用假名PIDi參與聚合簽名過程，因此本方案保護(hù)了車輛的隱私。

3.5 可追蹤性

當(dāng)RSU驗(yàn)證簽名失敗或者因?yàn)檐囕v發(fā)生交通事故而被執(zhí)法部門追責(zé)時(shí)，RSU會(huì)將追責(zé)車輛的假名PIDi發(fā)送給TA，TA利用假名PIDi查詢車輛的注冊信息，從而追蹤到車輛的真實(shí)身份IDi，因此本方案具有可追蹤性。

4 性能分析

下面將對本文提出的基于SM9的聚合簽名方案與目前幾種性能較好的方案進(jìn)行比對。表1列舉了幾種現(xiàn)存的聚合簽名方案，主要對單個(gè)簽名驗(yàn)證和批量驗(yàn)證的效率進(jìn)行對比，其中：PB表示一個(gè)雙線性對運(yùn)算；M表示一個(gè)標(biāo)量乘法；n表示車輛數(shù)目。

表1 不同聚合簽名方案的計(jì)算量

文獻(xiàn)[12]采用了處理器為Pentium Dual CPU e2200 2.2 GHz，內(nèi)存為2 048 MB的實(shí)驗(yàn)平臺進(jìn)行測試，計(jì)算出PB運(yùn)行時(shí)間為5.811 ms，M的運(yùn)行時(shí)間為2.226 ms。幾種聚合簽名方案的計(jì)算開銷對比如圖2所示。

圖2 不同車輛密度下各方案批量驗(yàn)證計(jì)算開銷

由圖2可見，本文方案在隨著車流量n增大后，批量驗(yàn)證的計(jì)算開銷在幾種方案中是最少的，可見本文方案在性能上有很大優(yōu)勢。

5 結(jié) 語

本文基于國產(chǎn)密碼SM9算法設(shè)計(jì)了一種聚合簽名方案。本文方案適用于車輛自組織網(wǎng)絡(luò)，通過設(shè)置假名保護(hù)車輛的隱私，采用聚合簽名降低了RSU的驗(yàn)證負(fù)擔(dān)。在證明了方案的正確性和安全性之后，通過和現(xiàn)有的幾種聚合簽名方案的計(jì)算量進(jìn)行對比，證明了本文方案在性能上有著一定的優(yōu)勢。但本文方案產(chǎn)生的聚合簽名長度與參與簽名的車輛呈線性關(guān)系，未來可以對方案進(jìn)行進(jìn)一步的優(yōu)化，使簽名長度為一常量值，以節(jié)省通信開銷。