宋 成,張明月,彭維平,劉志中,賈宗璞,閆璽璽

(河南理工大學(xué) 計算機科學(xué)與技術(shù)學(xué)院,河南 焦作 454003)

1 引 言

隨著人們生活水平的提高,車輛的普及,車輛帶來的交通擁堵、安全駕駛、交通管理、安全的信息傳遞等一系列交通相關(guān)問題引起了人們的關(guān)注.智能交通系統(tǒng)[1](ITS)在國內(nèi)外得到了廣泛的重視,人們用它來管理交通秩序,解決現(xiàn)有交通問題.為了更好地改善交通環(huán)境,構(gòu)建下一代交通系統(tǒng),基于移動Ad hoc網(wǎng)絡(luò)[2](MANET)的車輛Ad hoc網(wǎng)絡(luò)[3](VANET)得到各界人士的高度關(guān)注.在VANET中,車輛可以通過與其他設(shè)備的通信來獲得及時交通信息,娛樂信息,天氣信息等來方便用戶的生活,提高用戶的駕駛體驗.

VANET無線通信的本質(zhì)使其面臨著各種各樣的安全威脅.在無線通信的過程中,數(shù)據(jù)極易被惡意攻擊者改變與偽造,駕駛?cè)说纳矸?位置,車牌號,駕駛習(xí)慣等隱私問題也極易遭受攻擊,從而給駕駛?cè)松c財產(chǎn)帶來一系列的威脅.因此,防止通信過程中用戶的隱私信息被泄露,進行用戶的隱私保護[4]成為VANET中安全通信的最基本需求.用戶隱私保護的基本方法之一是匿名認證[5],但傳統(tǒng)的匿名認證方案設(shè)計復(fù)雜,計算開銷大,不能夠滿足拓撲迅速變化的VANET環(huán)境的需求.因此,在確保安全的基礎(chǔ)上提高匿名認證效率也是當(dāng)前VANET面臨的重要挑戰(zhàn)之一.

近年來,國內(nèi)外學(xué)者針對VANET中用戶的隱私保護與數(shù)據(jù)安全做了大量的研究,并提出了一些不同的匿名認證方案.Raya[6]等人首次提出一個基于別名證書的匿名認證協(xié)議,使用假名來進行通信從而對用戶的真實身份進行保護.但是,協(xié)議中將大量的私鑰與匿名認證證書存儲在車輛節(jié)點中,這對高動態(tài)與存儲空間有限的車輛節(jié)點來說存在一定的限制.在文獻[7]中提出一個基于環(huán)簽名的匿名認證方案,但是隨著撤銷列表中撤銷車輛的增多,消息的認證所需時間呈線性增長.為了提高認證效率,方案SPECS[8]介紹了一個批量驗證方案,使匿名認證的安全與效率有所提高,批量驗證之后車輛可以與任何車輛形成群組,并且彼此能夠在無RSU等設(shè)施的參與下進行安全通信.但Tzeng等人在文獻[9]中證實SPECS方案中,惡意車輛可以偽裝成合法車輛發(fā)布與接收消息,并能與合法車輛進行安全通信,因此該方案不能抵抗偽裝攻擊.同時,方案[9]使用RSU為車輛生成不同的假名設(shè)計了一個新的匿名認證方案,通過使用假名通信避免大量公私鑰對的使用.但是,保證RSU的安全性也是一個難題.為了解決該問題,Shim[10]等人提出一個基于身份的簽名方案,該方案將主密鑰存放在車輛的防篡改裝置中,車輛可以利用防篡改裝置中的系統(tǒng)主密鑰獨自生成假名等信息.近期的研究[11]表明,攻擊者能夠利用側(cè)信道攻擊(如效率分析與激光掃描)從防篡改裝置中獲得秘密信息.因此,一旦防篡改裝置被攻破,其內(nèi)的安全參數(shù)被竊取,整個系統(tǒng)的安全也就沒了保障.

為了解決當(dāng)前VANET匿名認證方案存在的問題,本文提出一個基于橢圓曲線的車聯(lián)網(wǎng)批量匿名認證方案.該方案不僅實現(xiàn)了可認證性,匿名性,不可鏈接性,抗共謀攻擊等多種安全性能,而且在復(fù)雜度方面,該方案利用橢圓曲線密碼體制的密鑰短、速度快、安全性能高等優(yōu)勢,有效的降低了存儲開銷和計算開銷.

2 預(yù)備知識

2.1 有限域上的橢圓曲線

橢圓曲線是指由Weierstrass方程y2=a1xy+a3y=x3+a2x2+a4x+a6所確定的平面曲線,通常用E表示.設(shè)Fq是一個p≠2,3的有限域,q=pm,p為素數(shù),m為整數(shù),(a,b)∈Fq滿足4a3+27b2≠0,則有限域上Fq的橢圓曲線定義為滿足方程y2=x3+ax+b的點(x,y)∈Fq×Fq和無窮遠點O所組成的點的集合.這些點在下面定義的加法運算中構(gòu)成一個Abelian群.

圖1 VANET網(wǎng)絡(luò)模型Fig.1 VANET network model

通常我們在有限域上研究橢圓曲線E.設(shè)P和Q是E上任意的兩個點,定義橢圓曲線上的運算“+”如下:點P和Q的連線(若P、Q兩點重合,即P=Q,P和Q的連線退化為點P的切線)交曲線于另一點R′,過點R′作平行于縱坐標(biāo)軸的直線與曲線相交于點R,則R為P和Q兩點之和,記為P+Q=R.對于k個相同點的相加,即P+P+…+P,可表示為kP,稱為點積或數(shù)乘.

2.2 VANET網(wǎng)絡(luò)模型

如圖1所示,系統(tǒng)模型包括三部分:可信服務(wù)中心Trust Authority(TA),路側(cè)單元RSU和車輛單元OBU.

1)TA可以是汽車制造商或運輸管理部門.負責(zé)生成系統(tǒng)的全局安全參數(shù)并發(fā)布公共/私有密鑰給所有的參與者.

2)RSU是安裝在道路兩側(cè)的通信設(shè)備,類似于無線傳感網(wǎng)絡(luò)的接入節(jié)點.RSU與車輛之間使用DSRC協(xié)議進行通信.

3)在VANET中每個車輛都配備了無線通信單元OBU,OBU與RSU或者其他OBU之間通過DSRC協(xié)議進行通信.

3 基于橢圓曲線的車聯(lián)網(wǎng)批量匿名認證方案

3.1 注冊階段

Fn是一個n階素數(shù)有限域.(a,b)∈Fn是有限域Fn上的橢圓曲線E(y2=x3+ax+b(modn),且4a3+27b2≠0)的參數(shù).O代表無窮大,P是存在素數(shù)q階的橢圓曲線E的生成元,且P≠O.

Step1.TA選擇3個單向散列函數(shù):H:{0,1}*→Zq,H1:{0,1}*→Zq,H2:{0,1}*→Zq.

Step3.TA為合法的車輛節(jié)點生成唯一的身份信息xi,xi是一個n維列向量且滿足Axi=Y.通過安全信道將xi頒發(fā)給車輛節(jié)點.然后隨機選擇m維列向量D,計算車輛節(jié)點Vp的身份

IDi=DT·xi

TA將矩陣A,Y通過安全信道發(fā)送給RSU作為他們之間的共享秘密.

系統(tǒng)的公共參數(shù)為:(p,q,H,H1,H2,PK)

3.2 初始化階段

初始化階段,RSU對車輛節(jié)點進行認證.具體步驟如下:

Step1.需要與其他車輛通信時,車輛向簽名者RSU發(fā)送簽名請求信號.

B=dA

(1)

s=dy

(2)

將(t1,B,h(s‖IDR‖t1)發(fā)送給給車輛用戶Vp,其中IDR是RSU的身份.

Step3.Vp收到RSU發(fā)來的消息,計算

r=Bxi

(3)

驗證等式

h(r‖IDR‖t1)=h(s‖IDR‖t1)

(4)

是否成立,若成立,則發(fā)送(t2,h(r‖IDR‖t1‖t2))給RSU,t1,t2是與消息發(fā)送時間有關(guān)的時間戳.

Step4.RSU收到消息之后驗證

h(r‖IDR‖t1‖t2)=h(s‖IDR‖t1‖t2)

(5)

是否成立.

3.3 消息的簽名階段

PIDi=bIDi

(6)

Step2.RSU隨機生成ki,計算:

Ki=kiP

(7)

Si=ki+H1(PIDi,Ki)×xmodp

(8)

然后將(Ki,Si)通過安全信道發(fā)送給車輛,

Step3.車輛隨機選擇ri計算:

Ri=riP

(9)

Vi=H2(Ki,Ri,PIDi,Mi,tti)×ri+Simodq

(10)

tti是時間戳,δi={Ki,Ri,Vi}為車輛對消息Mi的簽名,然后將Ni=(PIDi,Mi,tti,δi)傳送給其他車輛進行驗證.

簽名階段流程圖如圖2所示:

圖2 簽名階段消息交互流程Fig.2 Message exchange process of signature phase

3.4 驗證階段:

3.4.1 單車輛驗證

當(dāng)另一車輛收到簽名(PIDi,Mi,tti,δi)之后,首先驗證tti(i=1,…,n)的有效性,驗證通過則計算:

hi,2=H1(PIDi,Ki)

(11)

hi,2=H2(Ki,Ri,PIDi,Mi,tti)

(12)

然后驗證等式:

ViP=h1,2Ri+Ki+hi,1PK

(13)

若等式成立,則驗證通過,接收該消息.

3.4.2 批量驗證

車輛收到n個簽名消息N1,N2,…,Nn,首先驗證tti(i=1,…,n)的有效性,驗證通過則計算:

hi,1=H1(PIDi,Ki)

hi,2=H2(Ki,Ri,PIDi,Mi,tti)

然后驗證等式:

(14)

若等式成立,則驗證通過,接收消息.

驗證階段流程圖如圖3所示.

圖3 驗證階段消息交互流程Fig.3 Message exchange process of verification phase

4 方案分析

4.1 正確性分析

首先驗證等式ViP=hi,2Ri+Ki+hi,1PK是成立的:

hi,2Ri+Ki+hi,1PK

=H2(Ki,Ri,PIDi,Mi,tti)Ri+Ki+hi,1PK

=H2(Ki,Ri,PIDi,Mi,tti)×riP+Ki+hi,1PK

=H2(Ki,Ri,PIDi,Mi,tti)×riP+Ki+H1(PIDi,Ki)PK

=H2(Ki,Ri,PIDi,Mi,tti)×riP+Ki+H1(PIDi,Ki)xP

=P(H2(Ki,Ri,PIDi,Mi,tti)×ri+Ki+H1(PIDi,Ki)x)

=P(H2(Ki,Ri,PIDi,Mi,tti)×ri+Si)

=ViP

(15)

車輛同時對收到的n個消息進行驗證,將此n個簽名進行相加,然后驗證,由式(15),則批量驗證的公式(14)也是成立的.

4.2 安全性分析

4.2.1 身份隱私保護

在本文的方案中,車輛節(jié)點通過被可信中心授權(quán)的Xi來保證其節(jié)點身份的可靠性,在接下來的通信過程中,車輛通過不斷變化的假名進行通信,因為假名生成過程中有隨機數(shù)的參與,除了車輛本身與可信中心TA,其他人都不能通過任何方式獲得車輛的真實身份信息Xi.從而保證了車輛節(jié)點的可認證性與用戶的隱私保護.

4.2.2 不可鏈接性

用戶的不可鏈接性指的是攻擊者不能夠判斷兩個消息是否來自于同一車輛.本方案通過假名來實現(xiàn)用戶的不可鏈接性.由于在簽名階段,每次簽名過程都會有隨機數(shù)的生成,并且用戶的假名具有有效期,這些假名之間沒有任何的關(guān)聯(lián),攻擊者試圖判斷消息M與M′是否來自于同一車輛是不可能的.本方案記為η,挑戰(zhàn)者記為A,B0與B1表示兩個忠實的車輛用戶,簽名者RSU記為ζ.

定義1.鏈接游戲

Step1.挑戰(zhàn)者由密鑰生成算法KeyGen(k)生成公私鑰對(SK,PK),同時獲得系統(tǒng)的公共參數(shù)(p,q,g,Ppub,H1,H2);

Step2.挑戰(zhàn)者選取兩個完全不同的消息m0,m1;

Step3.選取隨機位b∈{0,1},然后將mb與m1-b秘密發(fā)送給B0與B1,b對挑戰(zhàn)者保密;

Step4.簽名者ζ分別與B0與B1執(zhí)行本簽名方案.

Step5.如果B0與B1輸出兩個有效的簽名δb與δ1-b分別與消息m0與m1相對應(yīng),然后將δb與δ1-b按照隨機順序發(fā)送給挑戰(zhàn)者,否則,返回⊥給挑戰(zhàn)者;

Step6.挑戰(zhàn)者猜測δb來自于b′,如果b′=b則挑戰(zhàn)者贏得這場游戲.

定理1.如果不存在挑戰(zhàn)者A在多項式時間內(nèi)以不可忽略的概率贏得該鏈接游戲,則稱該方案滿足不可鏈接性.

A作為在定義1中鏈接游戲的挑戰(zhàn)者,如果在步驟5中收到的是⊥,那么說明A不能獲得任何有用的信息,得到正確的b的概率為1/2,這與b的隨機猜測是等同的.

考慮另一種情況,假設(shè)攻擊者A在執(zhí)行完本方案的簽名后得到了兩個簽名消息分別為(PID0,M0,tt0,δ0),(PID1,M1,tt1,δ1).設(shè)j∈{0,1},j表示該簽名方案的一個實例,為了證明方案的不可鏈接性,對于(PID,M,tt,δ)∈{(PID0,M0,tt0,δ0),(PID1,M1,tt1,δ1),在保證簽名合法的情況下總能實現(xiàn)hi,1=H1(PIDi,Ki),hi,2=H2(Ki,Ri,PIDi,Mi,tti)使等式ViP=hi,2Ri+Ki+hi,1PK成立.所以挑戰(zhàn)者是不能區(qū)別消息來自于哪一個簽名者,從而該方案能夠滿足不可鏈接性.

4.2.3 抵抗中間人攻擊

在中間人攻擊中,攻擊者同時與相互通信的兩方保持通信連接,并且使相互通信的兩方相信彼此在一個安全的鏈接中進行信息的交互,以獲得有用信息達到攻擊目的.在本文方案中,RSU與Vp每次通信過程中都會有隨機數(shù)的生成,所以攻擊者與RSU和Vp與RSU以及攻擊者與Vp與RSU之間建立的連接之中所使用的隨機數(shù)是不相同的,所以攻擊者無法通過中間人攻擊與合法用戶建立通信連接以達到攻擊目的.

4.2.4 抗合謀攻擊

1)n個車輛共謀獲取另一車輛的身份信息:假設(shè)Vp與同一有限域內(nèi)的n個車輛進行了通信,這n個車輛都得到了Vi對消息的簽名.假設(shè)簽名消息分別(PID0,M0,tt0,δ0),(PID1,M1,tti,δi),…,(PIDi,Mi,tti,δi),…,(PIDj,Mj,tt1,δ1).其中j∈1…n,即與車輛1,2,…,n的共n次通信,δi={Ki,Ri,Vi},Ki=kiP,Ri=riP,Vi=H2(Ki,Ri,PIDi,Mi,tti)×ri+Simodq,Si=ki+H1(PIDi,Ki)×xmodq.由于ki,ri,是車輛在每次簽名過程中隨機生成的參數(shù),各個隨機參數(shù)之間沒有任何的聯(lián)系,并且,車輛在每次簽名過程中的PIDi也是不同的,所以,根據(jù)各個車輛與Vp驗證過程中生成的簽名并不能得到任何有用信息,進而得知Vp的真實身份.

2)n個RSU共謀以追蹤車輛的真實身份

因為Vp與RSU的通信過程中始終傳遞的是Vp的臨時身份公鑰PIDi,并且每次簽名過程中PIDi都是隨機生成的,通信參數(shù)中沒有出現(xiàn)與車輛真實身份相關(guān)的任何信息,所以,即使n個RSU進行合謀也無從求解出車輛的真實身份.

綜上,本匿名認證方案是可以抵抗共謀攻擊的.

4.2.5 前向安全性與后向安全性

前向安全性與后向安全性是指即使攻擊者獲得了車輛的當(dāng)前信息也不能推測出之前之后的認證信息.方案中在認證信息的生成過程中,都會有隨機數(shù)ki,ri的參與,攻擊者并不能推導(dǎo)出前后隨機數(shù)之間的關(guān)系,進而對之后的隨機數(shù)值進行分析.不同的簽名階段會有不同的ki,ri生成,所以即使惡意攻擊者獲得了當(dāng)前簽名認證過程的任何信息,都不能推斷出之前的認證信息或者之后的認證信息.

4.2.6 抗重放攻擊

若惡意的車輛節(jié)點獲得了Vp發(fā)給RSU的信息,它偽裝成Vp向RSU申請簽名認證,由于在初始化階段存在與發(fā)送時間有關(guān)的時間戳t1,t2,當(dāng)有車輛發(fā)送重放攻擊,則時間認證將不能通過,并且在車輛向另一車輛的認證過程中,存在時間戳ti.所以惡意車輛傳送的消息不可能通過RSU的簽名認證請求,也不能完成車輛之間的認證,即實現(xiàn)抗重放攻擊.

綜上分析可以發(fā)現(xiàn),與現(xiàn)有方案相比,本方案使車聯(lián)網(wǎng)匿名認證的安全性得到進一步增強,對比結(jié)果如表1所示.

4.3 效率分析

4.3.1 計算復(fù)雜度分析

為了便于方案計算復(fù)雜度的定性分析與比較,我們定義m表示組成員的數(shù)量,Ncrl表示證書更新列表的數(shù)目,Tmul代表橢圓曲線上點乘運算,Tpar代表一次雙線性對運算,Texp代表一次冪運算,Tmac表示一次消息認證碼操作的時間.由于其他運算比較簡單,消耗時間較短,我們這里忽略不計.本方案認證過程所消耗的的時間與現(xiàn)存方案所消耗的時間對比結(jié)果如表2所示:

表1 安全性對比Table 1 Security performance comparison

表2 計算復(fù)雜度比較Table 2 Comparison of computational complexity

如表2所示,無論是單個消息認證還是批量認證,僅僅用到計算復(fù)雜度較小的點乘運算.在方案[7,12,14]中,由于雙線性對的使用,其計算量明顯較大,并且,雙線性運算的個數(shù)隨著消息的增多呈線性增多;文獻[13]中的方案,僅點乘運算的運算次數(shù)就高于本方案.其計算量都明顯高于本方案.

4.3.2 通信復(fù)雜度分析

通信復(fù)雜度是指通信所需的的比特數(shù).車聯(lián)網(wǎng)認證方案中一次完整驗證的通信開銷通常主要由身份信息、簽名、消息本身等組成.

表3 通信復(fù)雜度比較(單位:bytes)Table 3 Comparison of communication complexity(unit:bytes)

設(shè)定原始消息的大小為20 bytes,其中在[7]中,該方案是基于環(huán)結(jié)構(gòu)與群公鑰進行認證的,整個認證過程中不需要證書的參與,其簽名大小為147bytes;在方案[12]中,傳輸數(shù)據(jù)包中所包含的數(shù)據(jù)所占空間分別為:簽名40 bytes,證書121 bytes,匿名密鑰為26 bytes,ID所占空間為2 bytes;在方案[13]中,原始消息20 bytes,簽名42 bytes,假名63 bytes,對稱密鑰所占空間16 bytes,ID所占空間為 4 bytes;方案[14]中,原始消息為20 bytes,簽名所占空間為826 bytes,時間戳為4 bytes,ID所占空間為 3 bytes.在本文方案中,原始消息20 bytes,簽名60 bytes,假名41 bytes.如表3.

通過比較分析可以發(fā)現(xiàn),本方案在通信復(fù)雜度方面也存在一定的優(yōu)勢.

5 結(jié) 語

本文針對當(dāng)前車聯(lián)網(wǎng)隱私保護中的匿名認證過程中存在的問題,設(shè)計了一種安全高效的批量匿名認證方案.本方案基于橢圓曲線密碼體制密鑰短、速度快、安全性能強等優(yōu)勢,因此,該方案在存儲空間,計算效率和安全性能上都有所改進;同時,由于簽名由RSU與車輛共同生成,進一步減輕了可信中心的負擔(dān).最后對方案的正確性進行了證明并對方案的性能進行了分析,通過對方案性能進行分析表明,該方案在保證隱私保護、不可鏈接性、抵抗中間人攻擊、前向與后向安全性、抵抗共謀與重放攻擊等多種安全性能的基礎(chǔ)上計算復(fù)雜度也有所降低,通信復(fù)雜度同樣具有優(yōu)勢.因此,這對于存儲空間非常有限的車輛節(jié)點和高動態(tài)的車載網(wǎng)絡(luò)來有著重要的理論意義與應(yīng)用價值.

：

[1] Engelbrecht J,Booysen M J,Van Rooyen G J,et al.Survey of smartphone-based sensing in vehicles for intelligent transportation system applications[J].Intelligent Transport Systems Iet(Iet Intell Transp Sy),2015,9(10):924-935.

[2] Nema T,Waoo A,Patheja P S,et al.Energy efficient adaptive routing algorithm in MANET with sleep mode[C].International Conference on Emerging Trends and Technology(ICET),2012.

[3] Kwon J H,Chang H S,Shon T,et al.Neighbor stability-based VANET clustering for urban vehicular environments[J].The Journal of Supercomputing(J Supercomput),2016,72(1):161-176.

[4] Li Y,Dai W,Ming Z,et al.Privacy protection for preventing data over-collection in smart city[J].IEEE Transactions on Computers(IEEE T Comput),2016,65(5):1339-1350.

[5] Gope P,Lee J,Quek T Q S.Resilience of DoS attacks in designing anonymous user authentication protocol for wireless sensor networks[J].IEEE Sensors Journal(IEEE Sens J),2017,17(2):498-503.

[6] Raya M,Hubaux J P.Securing vehicular ad hoc networks[J].Journal of Computer Security(JCS),2007,15(1):39-68.

[7] Zeng S,Huang Y,Liu X.Privacy-preserving communication for VANETs with conditionally anonymous ring signature[J].International Journal of Network Security(IJNS),2015,17(2):135-141.

[8] Chim T W,Yiu S M,Hui L C K,et al.SPECS:secure and privacy enhancing communications schemes for VANETs[J].Ad Hoc Networks(Ad Hoc Netw),2009,9(2):189-203.

[9] Horng S J,Tzeng S F,Pan Y,et al.b-SPECS+:batch verification for secure pseudonymous authentication in VANET[J].IEEE Transactions on Information Forensics & Security(IEEE T Inf Foren Sec),2013,8(11):1860-1875.

[10] Shim K A.An efficient conditional privacy-preserving authentication scheme for vehicular sensor networks[J].IEEE Transactions on Vehicular Technology(IEEE T Veh Technol),2012,61(4):1874-1883.

[11] Mahanta H J,Azad A K,Khan A K.Differential power analysis:attacks and resisting techniques[M].Information Systems Design and Intelligent Applications,Springer India,2015:349-358.

[12] Lu R,Lin X,Shen X.SPRING:a social-based privacy-preserving packet forwarding protocol for vehicular delay tolerant networks[C].IEEE International Conference on Computer Communications (INFOCOM),2010:1-9.

[13] Studer A,Bai F,Bellur B,et al.Flexible,extensible,and efficient VANET authentication[J].Journal of Communications & Networks(J Commun Netw-S Kor),2009,11(6):574-588.

[14] Shao J,Lin X,Lu R,et al.A threshold anonymous authentication protocol for VANETs[J].IEEE Transactions on Vehicular Technology(IEEE T Veh Technol),2016,65(3):1-1.