王大星, 滕濟(jì)凱

(1. 滁州學(xué)院 數(shù)學(xué)與金融學(xué)院, 安徽 滁州 239000； 2. 青島理工大學(xué) 理學(xué)院, 山東 青島 266520)

0 引 言

圖1 車(chē)載傳感網(wǎng)模型Fig.1 Vehicle sensor network model

無(wú)線(xiàn)傳感器網(wǎng)絡(luò)是物聯(lián)網(wǎng)的重要組成部分, 尤其在交通領(lǐng)域應(yīng)用廣泛. 在智能交通系統(tǒng)中, 傳感器節(jié)點(diǎn)靜態(tài)部署在十字交叉路口, 通過(guò)路側(cè)單元(road side unit, RSU)匯聚周邊車(chē)輛檢測(cè)點(diǎn)的信息, 控制交通信號(hào)燈的變化. 車(chē)載傳感器網(wǎng)絡(luò)(vehicular sensor network, VSN)主要由安裝在車(chē)輛上的車(chē)載單元(onboard units, OBU)及部署在道路周?chē)A(chǔ)設(shè)施上的路側(cè)單元組成. 用戶(hù)通過(guò)車(chē)輛與車(chē)輛之間(vehicle-to-vehicle, V2V)、 車(chē)輛與基礎(chǔ)設(shè)施之間(vehicle-to-infrastructure, V2I)的通信, 共享信息并訪(fǎng)問(wèn)臨近基礎(chǔ)設(shè)施所提供的各種服務(wù)[1], 其網(wǎng)絡(luò)模型如圖1所示. 但車(chē)載網(wǎng)絡(luò)具有資源受限、 節(jié)點(diǎn)高速移動(dòng)、 通信延遲等缺點(diǎn), 使其安全問(wèn)題得不到保障, 包括竊聽(tīng)、 篡改、 跟蹤用戶(hù)的隱私等. 一般情況下, 用戶(hù)不希望其敏感信息如真實(shí)身份受非法追蹤和惡意分析. 另一方面, 當(dāng)發(fā)生交通事故或車(chē)主犯罪時(shí), 執(zhí)法當(dāng)局應(yīng)該能檢索或跟蹤車(chē)主的信息, 以揭露他們的身份, 即條件隱私保護(hù).

在交通密度很大的車(chē)載網(wǎng)通信中, 每個(gè)RSU或交通控制中心需要驗(yàn)證大量的車(chē)輛信息, 會(huì)導(dǎo)致大量的計(jì)算開(kāi)銷(xiāo). 但很多情況下, 這些計(jì)算必須在低帶寬、 低存儲(chǔ)空間的資源受限環(huán)境中完成. 聚合簽名[2]是一種在數(shù)字簽名領(lǐng)域的“批處理”和“壓縮技術(shù)”, 可同時(shí)給多個(gè)消息和多個(gè)用戶(hù)提供不可否認(rèn)的服務(wù), 把任意多個(gè)用戶(hù)的簽名等壓縮成一個(gè)簽名, 減小了簽名的存儲(chǔ)空間, 同時(shí)也降低了對(duì)網(wǎng)絡(luò)帶寬的要求. 因此, 聚合簽名提高了簽名的驗(yàn)證與傳輸效率, 在車(chē)載傳感網(wǎng)中使用聚合簽名進(jìn)行安全認(rèn)證可減輕RSU的負(fù)擔(dān).

基于傳統(tǒng)公鑰基礎(chǔ)設(shè)施(public key infrastructure, PKI)的簽名是基于證書(shū)體制的, 證書(shū)管理機(jī)構(gòu)(certificate authority, CA)需要綁定用戶(hù)及其公鑰, 管理并維護(hù)證書(shū)的開(kāi)銷(xiāo)較大, 不適于車(chē)載網(wǎng)絡(luò). 而基于身份的簽名可解決復(fù)雜的證書(shū)管理問(wèn)題, 可應(yīng)用于自組網(wǎng)等領(lǐng)域. 但在基于身份的簽名方案中密鑰托管一直存在惡意偽造簽名的安全問(wèn)題. 文獻(xiàn)[3-17]利用無(wú)證書(shū)密碼體制提出了無(wú)證書(shū)聚合簽名體制, 密鑰生成中心只生成用戶(hù)的部分私鑰, 用戶(hù)隨機(jī)選取一個(gè)秘密值與他的部分私鑰一起獨(dú)立生成自己的公/私鑰, 從而保護(hù)了簽名的安全. 但目前適合于車(chē)載傳感網(wǎng)的認(rèn)證方案還沒(méi)有得到完美解決. 本文提出一個(gè)適合于車(chē)載網(wǎng)的有效無(wú)證書(shū)聚合簽名方案, 車(chē)輛通過(guò)RSU生成一個(gè)影子值, 通過(guò)影子值與周?chē)?jié)點(diǎn)進(jìn)行通信, 必要時(shí)通過(guò)影子值可追蹤車(chē)輛用戶(hù)的真實(shí)身份.

1 預(yù)備知識(shí)

1.1 雙線(xiàn)性對(duì)

設(shè)G1為一個(gè)階為素?cái)?shù)q的加法循環(huán)群,P為其生成元；G2為一個(gè)階為素?cái)?shù)q的乘法循環(huán)群, 定義映射：e:G1×G1→G2. 如果該映射滿(mǎn)足下列3條性質(zhì), 則稱(chēng)該映射為雙線(xiàn)性對(duì)映射.

e(aP,bP)=e(P,P)ab=e(abP,P)=e(P,abP).

2) 非退化性. 對(duì)任意的X,Y∈G1,e(X,Y)≠1.

3) 可計(jì)算性. 對(duì)任意的X,Y∈G1, 存在一個(gè)有效的算法計(jì)算e(X,Y).

1.2 聚合簽名定義

1.3 CDH問(wèn)題

2 VSN中基于聚合簽名的認(rèn)證方案

本文提出的基于聚合簽名的認(rèn)證方案由9部分組成.

2.1 系統(tǒng)建立

params={G1,G2,e,P,PK,H1,H2,PRi}.

2.2 車(chē)輛注冊(cè)

2.3 密鑰生成

2.4 影子值生成

2.5 單個(gè)簽名

輸出消息簽名(mi,σi).

2.6 單個(gè)簽名驗(yàn)證

收到消息的路側(cè)單元RSU輸入消息簽名(mi,σi)、 公鑰Pi、 部分影子值D1i及參數(shù)params, 簽名驗(yàn)證過(guò)程需要計(jì)算以下數(shù)值：hi=H1(mi,D1i,Pi,Ui),Wi=H2(D1i), 如果

成立, 則表明驗(yàn)證通過(guò), 否則表示該簽名驗(yàn)證失敗. 其正確性證明如下：

2.7 聚合簽名

輸入n個(gè)車(chē)輛用戶(hù)的簽名(mi,σi), 計(jì)算并輸出聚合簽名(m,σ), 其中:

2.8 聚合簽名驗(yàn)證

RSU收到n個(gè)用戶(hù)的聚合簽名, 可通過(guò)以下步驟進(jìn)行批量驗(yàn)證：

hi=H1(mi,D1i,Pi,Ui),Wi=H2(D1i),

如果

成立, 則表明驗(yàn)證通過(guò), 否則表示該簽名驗(yàn)證失敗.

2.9 安全認(rèn)證

車(chē)載傳感網(wǎng)的安全認(rèn)證主要由下列3個(gè)階段完成, 如圖2所示.

圖2 車(chē)載網(wǎng)安全認(rèn)證過(guò)程Fig.2 Secure authentication process of vehicle network

2) 認(rèn)證. KGC和車(chē)輛用戶(hù)Ui分別運(yùn)行上述8個(gè)算法, 實(shí)現(xiàn)消息的簽名與驗(yàn)證. 在車(chē)輛動(dòng)態(tài)移動(dòng)過(guò)程中, 簽名驗(yàn)證的計(jì)算開(kāi)銷(xiāo)直接影響服務(wù)器的計(jì)算效率, 而利用聚合簽名算法使服務(wù)器可以一次批量驗(yàn)證多個(gè)簽名, 降低了服務(wù)器的計(jì)算開(kāi)銷(xiāo).

式中:λ1為下閾值,λ2為上閾值,并且有λ1=kλ2,0

3 安全性證明

定理1在隨機(jī)預(yù)言模型下, 如果存在敵手A1能在多項(xiàng)式時(shí)間內(nèi)分別執(zhí)行散列值(H1,H2,H3)查詢(xún)、 秘密值查詢(xún)、 公鑰查詢(xún)、 影子值查詢(xún)、 公鑰替換查詢(xún)、 簽名查詢(xún), 并能以不可忽略的概率偽造出簽名, 則存在一個(gè)算法C1能解決CDH問(wèn)題.

證明： 首先, 挑戰(zhàn)者C1輸入安全參數(shù)l運(yùn)行系統(tǒng)建立算法(Setup), 發(fā)送參數(shù)

6) 簽名查詢(xún). 當(dāng)收到敵手A1的簽名查詢(xún)時(shí), 挑戰(zhàn)者C1執(zhí)行如下步驟生成用戶(hù)IDi關(guān)于消息mi的簽名. 如果ci=1, 并且發(fā)現(xiàn)列表L中包含(IDi,pi,xi,Pi,Di), 則C1檢查xi, 如果xi=⊥, 則C1執(zhí)行公鑰查詢(xún), 生成xi=vi,Pi=vi·P. 如果列表L中不包含(IDi,pi,xi,Pi,Di), 則C1執(zhí)行公鑰查詢(xún), 將xi和Pi增加到列表L中.

(1)

于是挑戰(zhàn)者C1可通過(guò)式(1)解出：

)-1))-1,

從而C1解決了CDH問(wèn)題, 這與CDH問(wèn)題的假設(shè)矛盾, 因此, 本文提出的聚合簽名方案能抵抗隨機(jī)預(yù)言機(jī)模型下A1類(lèi)型敵手的攻擊, 是不可偽造的. 證畢.

定理2在隨機(jī)預(yù)言模型下, 如果存在敵手A2能在多項(xiàng)式時(shí)間內(nèi)分別執(zhí)行散列值(H1,H2,H3)查詢(xún)、 秘密值查詢(xún)、 公鑰查詢(xún)、 影子值查詢(xún)、 簽名查詢(xún), 并能以不可忽略的概率偽造出簽名, 則存在一個(gè)算法C2能解決CDH問(wèn)題.

證明過(guò)程與定理1相同, 故略.

4 實(shí)驗(yàn)結(jié)果與分析

圖3 VSN中車(chē)輛驗(yàn)證延遲Fig.3 Vehicle verification delay in VSN

下面將本文提出的無(wú)證書(shū)聚合簽名方案與目前幾種效率較高的方案進(jìn)行對(duì)比. 表1列出了幾種已存在的聚合簽名方案的計(jì)算量比較. 為簡(jiǎn)便, 本文只選取其中的雙線(xiàn)性對(duì)運(yùn)算(簡(jiǎn)記為P)和群G1中的模乘運(yùn)算(簡(jiǎn)記為M), 這兩種運(yùn)算在Intel i7, 3.07 GHz的計(jì)算機(jī)上運(yùn)行時(shí)間約為3.21 ms和0.40 ms, 表明雙線(xiàn)性對(duì)運(yùn)算耗時(shí)屬主要部分. 其他運(yùn)算如Hash函數(shù)運(yùn)算時(shí)間非常微小, 可忽略不計(jì). 表1中Sync表示正常的傳輸模式, Ad hoc表示自組網(wǎng)傳輸模式.

通過(guò)在Windows+OPNET IT Guru release 9.1.a中模擬實(shí)現(xiàn), 幾種基于VSN的無(wú)證書(shū)聚合簽名方案中駛?cè)胪粋€(gè)路側(cè)單元RSU的車(chē)流量與驗(yàn)證延遲時(shí)間的比較如圖3所示. 由圖3可見(jiàn), 當(dāng)增加交通負(fù)荷時(shí), 本文方案驗(yàn)證的簽名數(shù)最多, 即信息的損失率最小.

表1 不同聚合簽名方案的計(jì)算量比較

綜上所述, 車(chē)載傳感器網(wǎng)絡(luò)是建立在車(chē)載自組網(wǎng)基礎(chǔ)上的無(wú)線(xiàn)傳感器網(wǎng)絡(luò), 具有高速移動(dòng)性、 網(wǎng)絡(luò)呈現(xiàn)間歇連通性以及網(wǎng)絡(luò)拓?fù)渥兓l繁等特點(diǎn). 聚合簽名技術(shù)將許多不同用戶(hù)的簽名聚合成一個(gè)簽名, 只需對(duì)聚合后的簽名進(jìn)行驗(yàn)證即可判斷收到的簽名是否合法, 極大提高了消息驗(yàn)證的效率, 使其在車(chē)載傳感器網(wǎng)絡(luò)中應(yīng)用價(jià)值較高. 本文提出的車(chē)載傳感網(wǎng)中基于聚合簽名認(rèn)證方案滿(mǎn)足了車(chē)輛用戶(hù)的隱私保護(hù)和非法用戶(hù)的可追蹤性質(zhì). 實(shí)驗(yàn)分析結(jié)果表明, 相對(duì)于已有的方案, 本文方案具有通信代價(jià)小、 計(jì)算成本低及驗(yàn)證時(shí)延短等優(yōu)點(diǎn), 因此更適合于類(lèi)似車(chē)載自組網(wǎng)等資源受限的網(wǎng)絡(luò)環(huán)境.