一種后向撤銷隱私安全的車載自組織網絡快速匿名消息認證協議

劉雪峰 張玉清 王 鶴 張光華

?

一種后向撤銷隱私安全的車載自組織網絡快速匿名消息認證協議

劉雪峰 張玉清*王 鶴 張光華

(西安電子科技大學綜合業務網理論及關鍵技術國家重點實驗室 西安 710071)

該文提出適用于車載自組織網絡的快速匿名消息認證協議。通過使用基于身份的簽密技術，車輛行駛至某區域后，與該區域中心相互認證，獲取其所維護的周期性群簽名系統密鑰材料。之后，該車輛能夠使用獲取的密鑰材料對向網絡中廣播的攜帶有群簽名的消息，實現消息的匿名認證。網絡中的車輛收到其它車輛廣播消息之后，僅需驗證群簽名的合法性，避免驗證消息的簽發者是否是撤銷用戶。此外，所采用的群簽名算法支持批驗證運算，能夠快速處理短期內收到的多個消息。除了避免撤銷驗證特性之外，與已有的文獻相比，文中的方案能夠完善地保護撤銷用戶的后向隱私安全性。

密碼學；車輛網絡；認證；匿名性；后向撤銷隱私安全

1 引言

車載自組織網絡能夠提供有效的道路交通信息，為車輛駕駛員提供更為安全的駕駛環境以及便捷的多種網絡服務[1,2]。典型的車輛自組織網絡是由路邊單元與車輛共同構成的，其中路邊單元通過有線相互連接方式構成骨干網。車載自組織網絡主要包括兩種通信方式[3]：(1)車輛與路邊單元的通信；(2)車輛與車輛之間的通信。網絡中的車輛通過其裝載的通信設備，向網絡中發出其感知的信息(如位置、速度、緊急事宜等)，為道路上的駕駛員提供及時、準確的路況信息，以提高整個道路行駛的安全性。然而，在車輛自組織網絡部署之前，急需解決以下安全問題。

(1)消息認證性：車輛在收到網絡中消息時，要能夠驗證該消息的發送者是否是合法用戶，以避免攻擊者向網絡中注入虛假、惡意的信息；(2)不可否認性：車輛在向網絡中廣播消息之后，不能對該消息否認；(3)車輛匿名性：偵聽者以及網絡中的車輛不能通過檢測到的廣播消息，來識別發送者其真實身份，否則車輛網絡對用戶便失去吸引力[4,5]；(4)可追蹤性：在出現有爭議或糾紛廣播信息時，網絡的管理者能夠有效地識別出消息的發出者真實身份；(5)撤銷車輛后向隱私安全性：車輛被撤銷之后，全局偵聽者不能根據其偵聽的全網歷史信息確定出該撤銷用戶的簽發消息，進而保護該撤銷用戶的歷史移動軌跡隱私；(6)高效撤銷驗證性：在驗證收到的信息時，車輛能夠確定出該消息的發送者是否是已撤銷用戶。在實際應用中，車輛網絡的規模通常是比較大的，如截止2011年2月，我國現有機動車輛已達2.11億輛[6]。如何迅速驗證消息簽名者是否是已撤銷用戶，依然是個棘手的問題。

針對上述問題，本文提出一種適用于車載自組織網絡的快速匿名消息認證方案。文中的方案僅需區域中心與車輛進行一次有效以及撤銷性驗證。之后，網絡中的車輛在收到其它車輛發出的廣播信息時，僅驗證消息附帶的簽名是否正確，無需再驗證簽名者是否已被撤銷。另外，文中的方案能夠保護撤銷用戶的后向隱私安全，并且支持車輛對短期內收到的多個消息進行批驗證操作以提高驗證效率。

2 協議設計

2.1 系統模型

圖1所示為常用的車載網絡通信模型，主要有授權中心、區域中心、路邊單元以及車輛4個部分構成。下面分別闡述它們的主要功能。

圖1 系統模型

(1)授權中心(trust authority)：是由完全可信的第三方擔當該角色，如政府交通管理部門。其主要任務是給區域中心與車輛分發簽密密鑰[16]。

(2)區域中心(region center)：也被認為是完全可信的。區域中心維護群簽名密碼系統，其該系統密鑰材料周期性地更新，如每天更新一次。主要職責是，與駛入其區域的車輛相互認證，并對合法且未撤銷的車輛頒發群簽名密鑰材料[17]。

(3)路邊單元 (roadside unit)：是車輛網絡通信的主要基礎實施，通過有線網絡與其它路邊單元以及區域中心實現網絡互連。主要功能是，作為骨干網參與網絡信息通信。

(4)車輛(vehicular)：主要向網絡中廣播周邊的路況信息，為附近用戶提供更好的駕駛環境以及對異常事情(如交通事故)做提早預判。

2.2 方案總體設計

車載網絡中的消息快速認證，關鍵在于用戶撤銷驗證的有效性。具體來說，網絡中的車輛在收到其他用戶發出的信息之后，首先驗證消息的真偽性，即通過簽名算法來驗證消息以及其攜帶簽名的正確性。之后，用戶在排除簽名者是已撤銷用戶后才能認定消息的合法性。

為了克服車輛每收到一個消息均進行撤銷驗證，本文提出的方案只需路邊單元驗證一次車輛的撤銷性，網絡中的車輛在收到其它用戶廣播信息之后，僅驗證消息的攜帶簽名是否正確，無需再驗證簽名者是否已撤銷。方案的主要思想可以概括為以下3點：(1)區域中心維護群簽名密碼系統，該密碼系統周期性地更新，如每天更新一次；(2)車輛進入某區域之后，與區域管理中心相互認證。在驗證車輛的有效以及未被撤銷之后，該中心為用戶分發群簽名私鑰；(3)撤銷用戶無法通過與路邊單元的認證，因而無法獲取群簽名密鑰。車輛在收到其他用戶的廣播消息之后，直接驗證群簽名的有效性，而無需再對簽名者進行撤銷驗證。

2.3 安全模型

定義4 自適應消息攻擊下不可偽造性(ef-cma)

3 方案描述

3.1 初始化

在車載網絡部署之前，授權中心完成整個協議的初始化，包括生成系統參數、為區域中心以及車輛分配密鑰，具體包括以下3點。

3.1.2區域群簽名系統初始化 群簽名密鑰系統[17,18]的初始化是由區域中心執行，具體分為以下兩個步驟：

3.2 車輛與區域中心認證

3.3 車輛廣播消息認證

表1廣播消息格式

消息標示符消息負載時戳群簽名 m

3.4 追蹤性

4 安全性證明

通過定理1，定理2以及定理3，可以看出文中所設計的方案能夠實現具有匿名保護的相互身份認證，消息認證性以匿名性。群簽名密碼系統是周期性更新，只有合法車輛才能獲得最新的簽名密鑰，因而避免了撤銷驗證并且實現后向撤銷安全。

5 性能分析

5.1 車輛與區域中心認證開銷

5.2 車輛廣播消息開銷

6 結論

本文結合基于身份簽密技術與群簽名方案，提出一種適用于車輛網絡的高效消息認證方案。相對于歷史文獻來說，該方案能夠支持后向撤銷隱私安全，避免車輛在撤銷之后，其歷史路徑信息被恢復出來，有效地保護了車輛用戶的位置隱私。此外，用戶在驗證其它車輛廣播消息時，不再需要對簽名者進行撤銷驗證，即用戶在驗證網絡中的廣播消息的計算開銷是常量，與撤銷車輛的數目無關。最后，本文的方案能夠支持同時驗證多個廣播消息的合法性，與逐個簽名驗證相比，極大程度地降低了計算開銷。

圖2 驗證開銷與撤銷車輛個數關系圖

圖3 驗證開銷與消息個數關系圖

[1] Chen M, Chen J, and Chang T. Android/OSGi-based vehicular network management system[J]., 2011, 34(2): 169-183.

[2] Lu R, Lin X, Liang X,.. A dynamic privacy-preserving key management scheme for location based services in VANETs[J]., 2012, 13(1): 127-139.

[3] Zhang W, Chen Y, Yang Y,.. Multi-hop connectivity probability in infrastructure-based vehicular networks[J]., 2012, 30(4): 740-747.

[4] Liu X, Zhang Y, Wang B,.. Mona: secure multi-owner data sharing for dynamic groups in the Cloud[J]., 2013, 24(6): 1182-1191.

[5] Liu X and Zhang Y. A privacy-preserving acceleration authentication protocol for mobile pay-TV systems[J]., 2013, 6(3): 361-372.

[6] 湯一亮. 截至2月底: 我機動車保有量達2.11億輛[OL]. http:// news.xinhuanet.com/auto/2011-03/18/c_121201772. htm, 2011. 03. 18.

[7] Raya M and Hubaux J. Securing vehicular ad hoc networks[J]., 2007, 15(1): 39-68.

[8] Haas J, Hu Y, and Laberteaux K. Design and analysis of a lightweight certificate revocation mechanism for VANET[C]. Proceedings of 6th ACM international workshop on VehiculAr InterNETworking,New York, 2009: 89-98.

[9] Wasef A, Jiang Y, and Shen X. DCS: an efficient distributed certificate service scheme for vehicular networks[J]., 2010, 59(2): 533-549.

[10] Lu R, Lin X, Zhu H,.. ECPP: efficient conditional privacy preservation protocol for secure vehicular communications[C].Proceedings of 27th Conference on Computer Communications, Arizona, 2008: 1229-1237.

[11] Sun Y, Lu R, Lin X,.. An efficient pseudonymous authentication scheme with strong privacy preservation for vehicular communications[J]., 2010, 59(7): 3589-3603.

[12] Wasef A and Shen X. EMAP: Expedite message authentication protocol for vehicular ad hoc networks[J]., 2013, 12(1): 78-89.

[13] Lin X, Sun X, Ho P,.. GSIS: a secure and privacy- preserving protocol for vehicular communications[J]., 2007, 56(6): 3442-3456.

[14] Sun J, Zhang C, Zhang Y,.. An identity-based security system for user privacy in vehicular Ad hoc networks[J]., 2010, 21(9): 1227-1239.

[15] Xiong H, Beznosov K, Qin Z,.. Efficient and spontaneous privacy-preserving protocol for secure vehicular communication[C]. Proceedings of International Conference on Communications, Cape Town, 2010: 1-6.

[16] Barreto P, Libert B, McCullagh N,.. Efficient and provably-secure identity-based signatures and signcryption from bilinear maps[C]. Proceedings of the 24th Annual International Cryptology Conference on Advances in Cryptology, Chennai, 2005: 515-532.

[17] Ferrara A, Green M, and Hohenberger S. Practical short signature batch verification[C]. Proceedings of the 9th Cryptographers' Track at the RSA Conference 2009 on Topics in Cryptology,San Francisco, 2009: 309-324.

[18] Boneh D, Boyen X, and Shacham H. Short Group Signatures[C]. Proceedings of the 23th Annual International Cryptology Conference on Advances in Cryptology, Santa Barbara, 2004: 41-55.

[19] Lynn B. The pairing-based cryptography library[OL]. http:// crypto.stanford.edu/pbc/, 2013. 05.

劉雪峰： 男，1985年生，博士生，研究方向為應用密碼學、車輛網絡安全、云計算安全、無線網絡安全等.

張玉清： 男，1966年生，博士生導師，研究方向為漏洞挖掘、應用密碼學、量子密碼理論.

王 鶴： 女，1987年生，博士生，研究方向為應用密碼學、量子密碼理論.

An Efficient Anonymity Message Authentication with Backward Secure Revocation for Vehicular Ad Hoc Networks

Liu Xue-feng Zhang Yu-qing Wang He Zhang Guang-hua

(,,710071,)

This paper presents an efficient anonymous message authentication scheme for vehicular ad hoc networks. By using identity-based sign-encryption technique, a vehicular user can first authenticate with a region center to obtain a group signature key material, where the group is managed by the region center. Then, the user can employ the key material to sign a message and broadcast it into the network. Other vehicular users can directly check the signature without revocation verification. In addition, the used group signature supports batch verification, which significantly reduces the verification overhead. Compared with the existing schemes, the proposed scheme can achieve backward secure revocation.

Cryptography; Vehicular networks; Message authentication; Privacy-preserving; Backward secure revocation

TP309.2

A

1009-5896(2014)01-0094-07

10.3724/SP.J.1146.2013.00342

2013-03-15收到，2013-07-27改回

國家自然科學基金(61272481)資助課題

張玉清 zhangyq@ucas.ac.cn