一種基于身份的車載自組網(wǎng)認證機制

摘 要:針對車載自組網(wǎng)(VANET)的安全特性，采用基于身份的密碼學算法、分布式秘密共享算法和XTR公鑰密碼體制，實現(xiàn)安全高效的車輛節(jié)點認證。在使用Lagrange插值公式實現(xiàn)分布式的系統(tǒng)主密鑰的基礎(chǔ)上，基于XTR體制中的跡運算實現(xiàn)安全的分布式節(jié)點密鑰簽發(fā);簡單討論了XTR密碼體制下基于身份的數(shù)字簽名算法;同時，引入信譽值的概念來查找和剔除網(wǎng)絡(luò)中的惡意節(jié)點。通過算法安全性和效率分析，該機制適用于分布式的車輛移動網(wǎng)絡(luò)環(huán)境。

關(guān)鍵詞:車載自組網(wǎng);基于身份的密碼學;安全認證;XTR公鑰體制;秘密共享

中圖分類號:TP393 文獻標志碼:A

文章編號:1001-3695(2010)03-1089-03

doi:10.3969/j.issn.1001-3695.2010.03.078

Identity-based authentication scheme for VANET

WANG Qiang，CHEN Wu，MU De-jun

(Institute of Control Network， Northwestern Polytechnical University， Xi’an 710129， China)

Abstract:In order to realize secure mobile node authentication in vehicle Ad hoc networks(VANET)，this paper proposed a scheme consisting of identity-based cryptographic algorithms，secret sharing distributed algorithms and XTR public key cryptosystem to achieve safe and efficient traffic nodes certification.This algorithrn used Lagrange interpolating polynomial to distribute master secret key among system nodes，and presented a distributed procedure to securely issue node key based on the XTR system tracks algorithm.This paper discussed identity-based digital signature algorithm on the XTR cryptosystem briefly.And used the concept of the credibility of the value to find and eliminate malicious nodes in the networks.After analyzing the security and efficiency of the proposed algorithm， the mechanism would apply to vehicles distributed mobile network environments.

Key words:vehicle Ad hoc networks(VANET); identity-based cryptography; security certification; XTR public key cryptosystem; secret sharing

車載自組網(wǎng)(VANET)是專門為車輛間通信而設(shè)計的自組織網(wǎng)絡(luò)，它創(chuàng)造性地將自組網(wǎng)技術(shù)應(yīng)用于車輛間通信，使司機能夠在超視距的范圍內(nèi)獲得其他車輛的狀況信息(如車速、方向、位置、剎車板壓力等)和實時路況[1]。 由于VANET應(yīng)用場合的重要性，其安全問題是至關(guān)重要的，如確保生命攸關(guān)的消息在網(wǎng)內(nèi)傳輸時不能被攻擊者隨意竄改。因此VANET應(yīng)該滿足以下安全目標:a)安全認證。每個節(jié)點車輛需要能夠確認與其通信的節(jié)點車輛身份，確保合法信息的接收。b)完整性。保證信息在發(fā)送過程中不會被中斷，并保證節(jié)點車輛接收的信息應(yīng)與發(fā)送的信息完全一樣。c)可用性。即使受到攻擊(如DoS干擾攻擊)，節(jié)點車輛仍然能夠在必要的時候提供有效服務(wù)。d)不可否認性。導(dǎo)致交通事故的司機應(yīng)能可靠地確定，發(fā)送者不能否認信息的傳輸。e)機密性。保證特定的信息不會泄露給未經(jīng)授權(quán)的用戶。f)實時限制。在VANET典型的高速環(huán)境中，嚴格的時間限制是必須要考慮的。

在以上安全目標中，只有節(jié)點車輛的安全認證與其他安全目標的關(guān)聯(lián)度最大。要保證通信的機密性和完整性，必須進行密鑰管理，而密鑰的分配與節(jié)點車輛身份的認證是緊密相連的，只有對身份進行了認證，才能將正確的密鑰分配給正確的節(jié)點。因此，安全認證是車載自組網(wǎng)安全目標實現(xiàn)的關(guān)鍵。

在移動自組網(wǎng)中，已經(jīng)提出了很多基于身份的認證機制。文獻[2]提出使用基于身份的認證方法和門限算法實現(xiàn)高效的身份認證，但沒有討論認證私鑰的安全簽發(fā)。文獻[3]基于Shamir的門限算法實現(xiàn)了Cha和Cheon的基于身份的認證算法，并使用橢圓曲線加密算法實現(xiàn)了安全高效的認證私鑰簽發(fā)。文獻[4]也提出了一種建立在橢圓曲線域上的基于雙向身份認證的密鑰管理方案，并且加入了惡意節(jié)點的發(fā)現(xiàn)與處罰策略。

本文在上述文獻的基礎(chǔ)上進行了如下改進:a)采用XTR公鑰密碼體制實現(xiàn)認證私鑰的簽發(fā);b)在XTR體制下實現(xiàn)基于身份的數(shù)字簽名算法;c)引入信譽值的概念來剔除網(wǎng)絡(luò)中的惡意節(jié)點。

1 基于XTR的認證私鑰安全簽發(fā)

在VANET中，使用基于身份的認證算法實現(xiàn)通信車輛的認證，需要解決兩個問題:分布式主密鑰的生成以及用戶認證私鑰的安全簽發(fā)。

認證私鑰的安全簽發(fā)需要滿足以下要求:a)擁有s分量的節(jié)點不應(yīng)該泄露其擁有的s分量;b)主密鑰s不應(yīng)該被任何節(jié)點獲得;c)任何節(jié)點不應(yīng)該了解其他節(jié)點的認證私鑰[3]。

在文獻[5]中提出了一種基于一般訪問結(jié)構(gòu)的多重秘密共享方案。在實現(xiàn)的過程中，由秘密分發(fā)者根據(jù)授權(quán)子集的情況為每個授權(quán)子集生成秘密恢復(fù)所必須的秘密因子，只有當該授權(quán)子集所有用戶參與秘密恢復(fù)才能恢復(fù)秘密。一個用戶可以分屬于不同的授權(quán)子集，但其所持有的秘密份額只有一份。但是該方案較多地使用了有限域上的求冪運算，這就使得整個方案的效率不高。本文使用了XTR公鑰密碼體制，使得有限域上的運算量降低為原來的三分之一。

1.1 XTR公鑰密碼體制

XTR公鑰密碼體制[6]是一種基于有限域中乘法子群元素的跡函數(shù)表示方法的密碼體制。XTR屬于移位寄存器序列密碼體制，人們所熟知的RSA公鑰密碼體制和ElGamal公鑰密碼體制采用的是GF(p)上的一階移位寄存器序列，而XTR公鑰密碼體制采用的是三階移位寄存器序列。

設(shè)素數(shù)p=2 mod 3，于是關(guān)于p的六次割圓多項式(即φ6(p)=p2-p+1)有素因子q>6。用g表示域GF(p6)*上的一個q階元素;h∈GF(p6)在GF(p2)上的共軛是h，hp2，hp4，h∈GF(p6)在GF(p2)上的跡是h在GF(p2)上所有共軛的和，即Tr(h)=h+hp2+hp4。X3-Tr(g)X2+Tr(g)pX-1的根是g的共軛，即Tr(g)∈GF(p2)是g的跡，給定Tr(g)，由g生成的q階子群就稱為XTR群。

XTR公鑰系統(tǒng)的安全性是基于在XTR 群中求解離散對數(shù)的困難性。基于XTR 的有關(guān)密碼算法的實現(xiàn)主要依據(jù)下述三個定理[7]:

定理1 在不計GF(p)中的加減運算的情況下，找出XTR 群的一個生成元的跡Tr(g)平均可由GF(p)中的q/(q-1)(2.7log2 p+8log2((p2-p+1)/q)+c)次乘法實現(xiàn)，這里c是一個很小的常數(shù)。

定理2 在不計GF(p)中的加減運算的情況下，已知Tr(g)∈GF(p2)和k，Tr(gk)能由GF(p)中的8log2 k次乘法實現(xiàn)。

定理3 在不計GF(p)中的加減運算的情況下，已知Tr(g)和Tr(gk)，對任意0<a，b

1.2 具體算法實現(xiàn)

a)隨機選取兩個大素數(shù)u和v滿足RSA密碼體制的要求，令N=uv;素數(shù)p=2 mod 3，q>N且q整除(p2-p+1)，g的階為q;從[2，N]中隨機選取整數(shù)x，使得ψ與u-1和v-1互素，計算M=Tr(gψ)mod q，找到一個滿足ψ×θ=1 mod Ω(N)的整數(shù)θ，Ω(N)表示歐拉函數(shù)，即不大于N且與N互素的正整數(shù)的個數(shù);并定義安全的hash函數(shù)H(#8226;)。

b)Fp為有限域，隨機選取t-1個系數(shù)a1，a2，…，at-1∈Fp\\{0}，在Fp上構(gòu)建t-1次多項式f(x)=d+a1x+a2x2+…+at-1xt-1。計算由第i個節(jié)點保存的d分量di=f(i)，i=1，2，…，n。

c)節(jié)點Vi計算自己的子秘密si=Mdi mod q=Tr((gψ)di)mod q。為了防止參與節(jié)點出示偽造的子秘密，其他成員可以利用下式對參與節(jié)點提供的子秘密進行驗證:

Tr((gψ)di)θ mod q=Tr((gdi)ψθmod q=Tr(gdi) mod q=si

d)由Lagrange插值法，任選t個si可以重構(gòu)t-1次多項式f(x)=ti=1sili(x)，其中l(wèi)i(x)為Lagrange插值基函數(shù)。計算d=f(0)=ti=1sili(0)。通過上述Lagrange插值公式可以安全地把KGC的主密鑰d分成n個分量，并由任意t個分量重構(gòu)d。

1.3 性能分析

XTR公鑰系統(tǒng)的安全性是基于在XTR群中求解跡離散對數(shù)的困難性，在XTR體制下求解XDL問題的困難程度與在GF(p6)*中求解離散對數(shù)問題的難度相同。對任意的n，

Tr(gψ)∈GF(p2)且F(Tr(gψ)，gψ)=0，當p=2 mod 3時，由定理2可知，Tr(gψ)計算量相當于Tr(g)進行8log2 ψ次乘法運算，這比使用傳統(tǒng)的求冪運算gψ速度快大約三倍。因此由跡運算Tr(gψ)代替g的冪運算在計算、存儲、傳輸所需要的時間效率都有顯著的提高。而且由文獻[6]可知，在同等安全性條件下XTR的密鑰要比RSA的密鑰小得多，大約是ECC(橢圓曲線密碼體制)的兩倍，而在很多情況下(如密鑰存儲量)與ECC是相同的。在密鑰選取的速度上XTR與RSA相當，比ECC則要快幾個數(shù)量級[8]。

根據(jù)文獻[9]提出的公鑰密碼體制比較研究，在Pentium III 450 MHz 和 96 MB內(nèi)存的環(huán)境下，XTR、ECC、RSA加密算法的性能結(jié)果如表1所示。

表1 XTR、ECC、RSA性能結(jié)果比較

比較項XTRECCRSA

運行速度最快23 ms較快28 ms慢5 ms

密鑰長度短170 bit短170 bit長1 020 bit

密鑰選擇最簡單復(fù)雜簡單

因此，本文給出的基于XTR的認證私鑰分量的方案效率較高。

2 XTR體制下基于身份的數(shù)字簽名方案

XTR體制下基于身份的數(shù)字簽名方案需要用戶的身份信息ID作為用戶的公鑰，身份信息可以是用戶的郵件、地址、證件編號等與個體相關(guān)且惟一的信息，也可以是生物特征采集儀器提取的用戶指紋、虹膜等個體與生俱來的身份特征信息。在VANET中，本文使用車牌號作為身份信息ID。本方案在基于XTR 的環(huán)簽字算法[10]基礎(chǔ)上進行改進，其實現(xiàn)過程如下:

1)參數(shù)生成

給定素數(shù)p=2 mod 3，q>3且q整除 (p2-p+1)，p≠8 mod 9，g的階為q，且GF(p6)和XTR群足夠大到可以抵抗已知的攻擊。PKG選取一個隨機數(shù)k，公開系統(tǒng)參數(shù){p，q，Tr(g)，Tr(gk)}。

2)用戶注冊

入網(wǎng)用戶都必須到離線的可信任機構(gòu)(PKG)處注冊身份，PKG認證用戶的身份;PKG選取一個隨機數(shù)ψ∈RZq*，

計算Ψ1，其中ψ1#8226;ψ≡1(mod q)，再

計算δ=(ψ1H(ID)+k)mod q，M′=Tr(gψ);PKG通過安全通道將{δ，M′}發(fā)送給用戶作為用戶的私鑰，ID作為用戶的公鑰。在此引入離線的可信任PKG組網(wǎng)，以其為信任建立的基點，可以使系統(tǒng)有較高的信任度。

3)簽名驗證過程

首先簽字者Vj任意選擇d個公鑰構(gòu)成自己希望的匿名集L，然后對消息m和匿名L執(zhí)行簽名算法sign(m，L)，產(chǎn)生出簽字σ。這里1<d≤n。

a)計算Cj+1=Hi(m，L，Tr(gaj))。這里a∈RZqj，1

b)對于i=j+1，…，d，l，…，j-1，計算Ci+1=Hi(m，L，Tr(gsligkcii))。 這里si∈RZqi，1

c)計算sj=a-δcj mod qj。

d)Vj對m和L的簽字σ=(m，L，c1，M′，s1，…，sd)。

e)驗證者根據(jù)σ計算Ci+1=Hi(m，L，Tr(gsligkcii))，

i=1，2，…，d，如果Cd+1=C1則接收，否則拒絕。

簽名算法的安全性與效率分析如下:

a)安全性與真實性。數(shù)字簽名用來確保一個節(jié)點不能否認它已經(jīng)發(fā)出的信息，確保信息是由簽名者發(fā)出的且沒有作過任何修改，它對檢查和孤立被占領(lǐng)節(jié)點具有特別重要的意義。在該簽名方案中，當節(jié)點A驗證通過了節(jié)點B的簽名，即可保證消息確實由節(jié)點B發(fā)出;當節(jié)點A接收到來自被占領(lǐng)節(jié)點B的錯誤信息時，數(shù)字簽名保證節(jié)點A能夠利用該信息告知其他節(jié)點B已被占領(lǐng)，再加上XTR密碼體制的安全性，從而保證節(jié)點間數(shù)據(jù)傳輸?shù)陌踩耘c真實性。

b)機密性與可靠性。在用戶私鑰的分發(fā)過程中，隨機數(shù)k和ψ的任意選取和安全通道確保了簽名私鑰的保密性。引入離線可信任機構(gòu)可以使系統(tǒng)有較高的信任度。因為沒有可信任方的參與，系統(tǒng)的可信度不高，不適用于軍事、消防和警用車輛通信等安全性要求較高的環(huán)境中。

該簽名方案利用車輛用戶的身份ID直接計算出用戶的公鑰，而無須公鑰證書的存在，極大地減少了公鑰認證的計算量和通信開銷，減少了用戶的存儲容量，提高了系統(tǒng)的運行效率。

同時，在典型實現(xiàn)環(huán)境(相應(yīng)于同等安全的RSA-1024 bit，DL-160 bit和XTR-170 bit)下的XTR-環(huán)簽字及基于RSA和離散對數(shù)的環(huán)簽字在計算量和簽字長度方面作一對比[10]，結(jié)果如表2所示。從表中可以看出，XTR-環(huán)簽字與RSA環(huán)簽字在簽字長度和計算量方面具有明顯優(yōu)勢，與DL環(huán)簽字相比，簽字長度大致相當，但計算上比其約快1.75 倍，具有明顯優(yōu)勢。

表2 XTR環(huán)簽字與其他環(huán)簽字比較表

比較項簽字長度/bit產(chǎn)生簽字的計算量驗證簽字的計算量

XTR環(huán)簽字170+170n1.14×108×n1.14×108×n

DL環(huán)簽字160+160n2.0×108×n2.0×108×n

RSA環(huán)簽字(1024+160)+1184n110×109+1.6×107×n116×107×n

3 惡意節(jié)點的發(fā)現(xiàn)

由于系統(tǒng)中增加了身份認證功能和信息驗證功能，故能發(fā)現(xiàn)不正常的節(jié)點，從而能將惡意仿冒節(jié)點和惡意發(fā)送虛假信息節(jié)點快速地從系統(tǒng)中分離出來。本文引入信譽值的概念來剔除惡意節(jié)點。

在某個節(jié)點收到另一個節(jié)點所提供的服務(wù)(消息)之后，前者根據(jù)后者所提供服務(wù)的質(zhì)量給后者一個評價值(如對滿意的服務(wù)提供+1的評價值，對惡意的服務(wù)提供-1的評價值)。在對某個節(jié)點的可信程度進行評估時，通過其他節(jié)點對該節(jié)點的歷史評價值來計算一個信譽值，信譽值越高表明該節(jié)點越可信。在這種情況下，提供惡意服務(wù)(虛假消息等)的節(jié)點的信譽值通常要低于善意節(jié)點的信譽值，隨著惡意節(jié)點信譽值的降低，它們將從網(wǎng)絡(luò)中被分離出來。

4 結(jié)束語

XTR公鑰體制是一種基于子群離散對數(shù)問題的密碼體制，在保證安全性不變的前提下，與RSA公鑰體制相比，它的密鑰長度短、傳輸效率高;與橢圓曲線公鑰體制相比，它的密鑰選取簡單、計算速度快。本文參考移動自組網(wǎng)中基于身份的認證方法，結(jié)合當前最高效的XTR密碼體制，提出了基于XTR的認證私鑰的安全簽發(fā)和環(huán)簽名算法，并對其特性和效率進行了分析，同時引入信譽值的概念來剔除網(wǎng)絡(luò)中的惡意節(jié)點。本文給出的方案具有分布式實現(xiàn)和安全高效的特點，相信對VANET中車輛節(jié)點間安全認證有一定的參考價值。

參考文獻:

[1]

常促宇，向勇，史美林.車載自組網(wǎng)的現(xiàn)狀與發(fā)展[J].通信學報，2007，28(11):116-126.

[2]KHALILI A，KATZ J，ARBAUGH W，et al.Toward secure key distribution intruly Ad hoc networks[C]//Proc of Symposium on Application and the Internet Workshops.[S.l.]:IEEE Computer Society，2003:1-5.

[3]陳煒，龍翔，高小鵬.一種基于身份的移動自組網(wǎng)認證機制[J].北京航空航天大學學報，2006，32(7):869-872.

[4]杜春來，胡銘曾，張宏莉.在橢圓曲線域中基于身份認證的移動Ad hoc密鑰管理框架[J].通信學報，2007，28(12):53-59.

[5]龐遼軍，姜正濤，王育民.基于一般訪問結(jié)構(gòu)的多重秘密共享方案[J].計算機研究與發(fā)展，2006，43(1):33-38.

[6]代錦秀，唐小虎，鄭宇，等.XTR公鑰密碼體制概述[J].計算機工程與應(yīng)用，2005，41(29):63-65，99.

[7]LENSRA A K，VERHEUL E R.The XTR public key system[C]//Prpc of

the 20th Annual International Cryptology Conference on Advances in Cryptology.London:Springer-Verlag，2000:1-19.

[8]LENSTRA A K，VERHEUL E R.Key improvements to XTR[C]//Proc of

the 6th International Conference on the Theory and Application of Cryptology and Information Security:Advances in Cryptology.London:Springer-Verlag，2000:220-233.

[9]MENZES A J.Comparing the security of ECC and RSA[EB/OL].(2000).http://www.cacr.math.uwaterloo.ca/~ajmeneze.

[10]王繼林，伍前紅，高虎明，等.基于XTR Schnorr簽字與環(huán)簽字算法[J].西安電子科技大學學報，2004，31(3):454-458.