基于無(wú)證書聚合簽名的導(dǎo)航信息更新方案

丁曉暉，曹素珍，竇鳳鴿，馬佳佳，王彩芬

(1.西北師范大學(xué) 計(jì)算機(jī)科學(xué)與工程學(xué)院，甘肅 蘭州 730070;2.深圳技術(shù)大學(xué) 大數(shù)據(jù)與互聯(lián)網(wǎng)學(xué)院，廣東 深圳 518118)

0 引 言

隨著傳感器技術(shù)與人工智能技術(shù)的快速發(fā)展，傳統(tǒng)汽車已經(jīng)與信息技術(shù)相結(jié)合，衍生出了一種更加安全智能的駕駛環(huán)境-車聯(lián)網(wǎng)[1](Internet of vehicles，VANETs)。VANETs是智慧城市的重要組成部分，為實(shí)時(shí)路況導(dǎo)航信息更新提供數(shù)據(jù)支持，有效的導(dǎo)航信息可以幫助駕駛員更加及時(shí)準(zhǔn)確地做出選擇，從而降低交通事故的發(fā)生率，在緩解交通擁堵、安全駕駛等方面都有著極為重要的作用[2]。

為了能夠完成實(shí)時(shí)的路況導(dǎo)航信息更新，及時(shí)有效地獲取相應(yīng)路段的交通狀態(tài)，近年來(lái)提出了一些方案[3]，在這些方案中，車輛用戶同意將自己收集到的路況信息上傳給導(dǎo)航公司，但是這也增加了用戶隱私泄露的風(fēng)險(xiǎn)。文獻(xiàn)[4]提出的一種高效的基于區(qū)塊鏈的車載社交網(wǎng)絡(luò)隱私保護(hù)方案中，采取為車輛用戶生成假名的方式實(shí)現(xiàn)隱私保護(hù)，降低了車輛用戶身份隱私泄露的風(fēng)險(xiǎn)。車輛用戶在注冊(cè)過(guò)程中由可信中心(trusted authority，TA)為其生成假名，車輛用戶使用假名進(jìn)行通信可以很好地保護(hù)自己的隱私，但當(dāng)其出現(xiàn)違法行為時(shí)，TA可以通過(guò)其假名恢復(fù)出其真實(shí)身份，實(shí)現(xiàn)條件隱私保護(hù)。

此外，如果無(wú)法保證車聯(lián)網(wǎng)環(huán)境中信息的真實(shí)性，將會(huì)引發(fā)嚴(yán)重的通信安全問(wèn)題。VANETs常采用消息簽名技術(shù)來(lái)實(shí)現(xiàn)消息的合法性與可認(rèn)證性。與此同時(shí)，通常采用聚合簽名技術(shù)來(lái)降低VANETs中的通信開銷，2003年Boneh等人[5]首先在歐洲密碼會(huì)上提出了聚合簽名的概念。聚合簽名技術(shù)可以將多個(gè)用戶的簽名消息壓縮成一個(gè)簽名消息進(jìn)行處理，從而提高消息的認(rèn)證效率，非常適合VANETs通信環(huán)境。文獻(xiàn)[6]提出了一種基于PKI的聚合簽名方案，該方案具有良好的安全性，可抵抗多種安全攻擊。但管理和維護(hù)證書會(huì)造成極大的開銷，不太適用于VANETs。文獻(xiàn)[7]基于橢圓曲線密碼體制和通用的單向散列函數(shù)，提出了一種VANETs中有效的基于身份的條件隱私保護(hù)認(rèn)證方案，雖解決了證書管理問(wèn)題，但卻存在密鑰托管問(wèn)題。惡意的密鑰生成中心可以輕易地冒充用戶進(jìn)行簽名，從而給系統(tǒng)帶來(lái)嚴(yán)重的安全威脅。利用無(wú)證書密碼體制構(gòu)造簽名方案[8]可以解決密鑰托管問(wèn)題。Al-Riyami和Paterson[9]在2003年的亞洲密碼會(huì)上首次提出了無(wú)證書密碼體制，在使用無(wú)證書密碼體制構(gòu)造簽名方案時(shí)，密鑰生成中心僅生成用戶的部分私鑰，用戶隨機(jī)選取一個(gè)秘密值與部分私鑰一起形成自己的完整私鑰，保證簽名安全。文獻(xiàn)[10-11]提出了VANETs中基于無(wú)證書的聚合簽名方案，雖然這些方案適合車聯(lián)網(wǎng)環(huán)境且滿足安全需求，但文獻(xiàn)[10-11]提出的方案涉及雙線性對(duì)運(yùn)算，在增加計(jì)算難度的同時(shí)也給VANETs通信環(huán)境帶來(lái)了極大的通信負(fù)擔(dān)。為解決該問(wèn)題，文獻(xiàn)[12-15]針對(duì)VANETs通信環(huán)境提出了一種無(wú)雙線性對(duì)的無(wú)證書聚合簽名方案，基于橢圓曲線離散對(duì)數(shù)困難問(wèn)題構(gòu)造了更為輕量的聚合簽名方案，大大提高了計(jì)算效率。遺憾的是，Zhao等人[12]指出文獻(xiàn)[14]提出的方案被不可抵抗無(wú)證書密碼體制中AⅠAⅡ類敵手攻擊，文獻(xiàn)[15]提出的方案不可抵抗AⅡ類敵手攻擊。此外，盡管Zhao等人[12]以及Xu等人[13]提出的方案是安全有效的，但是他們的方案都只被用于傳統(tǒng)的車聯(lián)網(wǎng)環(huán)境，因此，提出一個(gè)安全高效的具備導(dǎo)航更新功能的無(wú)證書聚合簽名方案是很有必要的。

基于上述情況，該文提出了車聯(lián)網(wǎng)中基于無(wú)證書聚合簽名的導(dǎo)航信息更新方案。主要工作有以下幾個(gè)方面：

(1)無(wú)證書密碼體制既能有效解決PKI密碼體制中的證書管理問(wèn)題又可解決基于身份的密碼體制中的密鑰托管問(wèn)題。因此本基于無(wú)證書密碼體制，該文提出了一種適用于VANETs環(huán)境的安全高效的實(shí)時(shí)路況導(dǎo)航信息更新方案，在保證安全性的同時(shí)又可以有效降低VANETs環(huán)境的通信負(fù)擔(dān)。

(2)通過(guò)為車輛用戶生成臨時(shí)假名，實(shí)現(xiàn)了對(duì)車輛用戶信息的條件隱私保護(hù)。用戶在通信過(guò)程中不用擔(dān)心泄露自己的隱私，在用戶有違法行為時(shí)，TA可通過(guò)假名恢復(fù)出用戶的真實(shí)身份，對(duì)其進(jìn)行追蹤。

(3)基于橢圓曲線離散對(duì)數(shù)困難問(wèn)題構(gòu)造了高效安全的聚合簽名方案，方案在構(gòu)造過(guò)程中不涉及雙線性對(duì)運(yùn)算，具有輕量化的優(yōu)勢(shì)，更適合VANETs中快響應(yīng)低延時(shí)的計(jì)算需求，能夠極大縮短用戶端簽名時(shí)間，降低計(jì)算開銷，提高應(yīng)用效率。

(4)為進(jìn)一步提高車輛簽名的可靠性，方案中引入了審查機(jī)制，可信中心為參與任務(wù)的每一個(gè)車輛頒發(fā)信譽(yù)值，當(dāng)某一個(gè)車輛公開自己的簽名消息時(shí)，范圍內(nèi)其他符合信譽(yù)值要求的車輛會(huì)對(duì)該簽名消息進(jìn)行審查，若同意該簽名消息，車輛會(huì)對(duì)其進(jìn)行簽名。若不同意該簽名消息，將向可信中心舉報(bào)該車輛用戶。

(5)該方案實(shí)現(xiàn)了數(shù)據(jù)的機(jī)密性、完整性、可靠性、身份的可認(rèn)證性以及不可否認(rèn)性，并給出了嚴(yán)格的安全性證明。通過(guò)實(shí)驗(yàn)數(shù)值分析表明，該方案具有明顯的效率優(yōu)勢(shì)。

1 預(yù)備知識(shí)

1.1 符號(hào)說(shuō)明

主要符號(hào)說(shuō)明見表1。

表1 主要符號(hào)說(shuō)明

1.2 橢圓曲線

設(shè)方程y2=x3+ax+bmodp上所有的點(diǎn)和一個(gè)無(wú)窮遠(yuǎn)點(diǎn)O構(gòu)成的集合稱為橢圓曲線Ep(a,b)，其中，a,b,x,y都在Ep(a,b)上，p為大素?cái)?shù)。在給定的運(yùn)算下，集合中的所有點(diǎn)可以組成Abel群，記為G，運(yùn)算法則如下：

(1)假設(shè)p是Ep(a,b)上的點(diǎn)，無(wú)窮遠(yuǎn)點(diǎn)是O，那么p+O=p；

(2)假設(shè)p是Ep(a,b)上的點(diǎn)，它的加法逆元是Q=-p，那么Q+p=O；

1.3 困難問(wèn)題

橢圓曲線離散對(duì)數(shù)問(wèn)題(elliptic curve discrete logarithm problem，ECDLP)：假定G為一個(gè)加法循環(huán)群，P作為群G的生成元，G的階為q，Q∈GP。已知P和Q，求滿足ap=Q的整數(shù)a是困難的。

2 方案的系統(tǒng)模型

在基于無(wú)證書聚合簽名的導(dǎo)航信息更新方案中，導(dǎo)航公司將需要收集的道路路況信息任務(wù)發(fā)送給TA，TA接收到任務(wù)之后會(huì)將信息通過(guò)霧節(jié)點(diǎn)發(fā)送給范圍內(nèi)的車輛用戶，在范圍內(nèi)的車輛用戶接收到任務(wù)后，會(huì)根據(jù)任務(wù)進(jìn)行相應(yīng)信息的收集，收集完成后會(huì)將相應(yīng)的消息簽名之后廣播，附近的一組滿足信譽(yù)值要求的車輛會(huì)對(duì)簽名消息進(jìn)行審查，若認(rèn)為簽名合法且消息真實(shí)有效，便對(duì)該簽名消息進(jìn)行簽名并上傳給霧節(jié)點(diǎn)，否則將向TA舉報(bào)該車輛用戶。霧節(jié)點(diǎn)收集到各個(gè)車輛用戶廣播的簽名消息后，會(huì)對(duì)消息簽名的合法性進(jìn)行認(rèn)證，驗(yàn)證合法后會(huì)將簽名消息進(jìn)行聚合，然后打包發(fā)送給可信中心TA。TA接收到消息后，會(huì)對(duì)簽名消息進(jìn)行批量認(rèn)證，若消息合法，便將消息回饋給導(dǎo)航公司，否則丟棄該消息，并追究相應(yīng)的違法用戶。系統(tǒng)模型如圖1所示，它共由五個(gè)實(shí)體組成：

(1)導(dǎo)航公司：導(dǎo)航公司需要大量的實(shí)時(shí)信息來(lái)動(dòng)態(tài)更新導(dǎo)航信息，然而導(dǎo)航公司本身是不具備這個(gè)能力的，因此它將相應(yīng)的任務(wù)發(fā)放給可信中心TA，之后再根據(jù)TA反饋回來(lái)的信息完成相應(yīng)的導(dǎo)航信息更新工作。

(2)可信中心TA：可信中心TA被認(rèn)為是完全可信的，一般由政府機(jī)構(gòu)擔(dān)任。在該方案中，TA主要負(fù)責(zé)車輛以及霧節(jié)點(diǎn)的注冊(cè)，同時(shí)為了保護(hù)車輛的隱私，在注冊(cè)過(guò)程中會(huì)為車輛生成偽身份，但當(dāng)車輛出現(xiàn)違法行為時(shí)，TA也可從其偽身份中獲取他的真實(shí)身份，并且追究其相應(yīng)的責(zé)任。此外，可信中心還負(fù)責(zé)為車輛用戶生成信譽(yù)值，并負(fù)責(zé)信譽(yù)值的更新。最后，可信中心會(huì)對(duì)霧節(jié)點(diǎn)發(fā)送過(guò)來(lái)的聚合簽名消息進(jìn)行批量認(rèn)證，認(rèn)證通過(guò)后將其發(fā)送給導(dǎo)航公司。

(3)密鑰生成中心(key generation center，KGC)：KGC被認(rèn)為是半可信的，主要負(fù)責(zé)系統(tǒng)參數(shù)建立以及密鑰生成。當(dāng)其收到可信中心發(fā)送的車輛偽身份信息后，會(huì)執(zhí)行密鑰生成算法，為車輛用戶生成部分私鑰。

(4)霧節(jié)點(diǎn)：霧節(jié)點(diǎn)一般分布在道路兩側(cè)，用來(lái)廣播TA發(fā)布的任務(wù)信息以及收集車輛用戶所廣播的簽名消息，霧節(jié)點(diǎn)在TA進(jìn)行注冊(cè)。在收集到范圍內(nèi)車輛的簽名消息后，它會(huì)首先驗(yàn)證消息的合法性，若合法霧節(jié)點(diǎn)會(huì)對(duì)其進(jìn)行聚合，并將聚合后的消息發(fā)送給可信中心TA。

(5)車輛用戶：車輛用戶在接收到霧節(jié)點(diǎn)廣播的任務(wù)后，若有符合任務(wù)要求的信息，車輛用戶會(huì)將其簽名之后進(jìn)行廣播。此外，車輛用戶還需完成對(duì)附近其他車輛用戶的簽名消息進(jìn)行審查的工作。

圖1 系統(tǒng)模型

3 方案描述

(1)系統(tǒng)建立算法。

(2)霧節(jié)點(diǎn)注冊(cè)階段。

(3)車輛注冊(cè)階段。

車輛需要在可信中心處進(jìn)行注冊(cè)，為實(shí)現(xiàn)條件隱私保護(hù)，TA會(huì)為車輛生成一個(gè)假身份，車輛使用假身份進(jìn)行通信時(shí)，不會(huì)泄露自身的真實(shí)身份信息，但當(dāng)車輛出現(xiàn)違法行為時(shí)，TA可以通過(guò)其假身份恢復(fù)出其真實(shí)身份，并追究車輛相應(yīng)的責(zé)任。設(shè)車輛的真實(shí)身份為IDi，選取當(dāng)前時(shí)間為ti，使用函數(shù)f(ti)計(jì)算當(dāng)前時(shí)間戳。TA為其生成假身份VIDi=h1(IDi，f(ti))。TA保存(IDi,f(ti),VIDi)，然后將VIDi發(fā)送給KGC用來(lái)生成部分私鑰。此外可信中心還將為車輛生成信譽(yù)值，并負(fù)責(zé)信譽(yù)值的更新。

(4)部分私鑰生成算法。

(5)用戶秘密值生成算法。

(6)假名生成算法。

(7)任務(wù)發(fā)放。

導(dǎo)航公司將任務(wù)taski=(j,area,type,tr)發(fā)送給TA，這其中j為本次任務(wù)的編號(hào)，area為需要收集信息的大致路段，type為收集信息的類型要求，tr為對(duì)車輛用戶要求的信譽(yù)閾值。TA根據(jù)要求將相應(yīng)任務(wù)下發(fā)給相應(yīng)路段的霧節(jié)點(diǎn)，霧節(jié)點(diǎn)接受到任務(wù)后會(huì)把任務(wù)進(jìn)行廣播，滿足任務(wù)要求且信譽(yù)值符合規(guī)定的車輛會(huì)將收集到的消息簽名之后進(jìn)行廣播，相應(yīng)路段其他車輛在驗(yàn)證簽名消息合法后將其重新簽名發(fā)送給霧節(jié)點(diǎn)，霧節(jié)點(diǎn)會(huì)將所有的簽名消息進(jìn)行認(rèn)證后進(jìn)行聚合，并發(fā)送給TA。

(8)數(shù)據(jù)的收集及上傳。

為了提高收集數(shù)據(jù)的可靠性與準(zhǔn)確性，當(dāng)一個(gè)車輛VA廣播自己的簽名消息后，附近的一組滿足信譽(yù)值要求的車輛(V1…Vn)會(huì)首先驗(yàn)證VA的簽名是否合法，若合法，車輛用戶會(huì)驗(yàn)證消息m是否真實(shí)有效。如果車輛用戶不同意該消息，可及時(shí)向可信中心TA進(jìn)行舉報(bào)，TA經(jīng)過(guò)調(diào)查后若確認(rèn)車輛VA違規(guī)，會(huì)扣除車輛VA以及同意消息m車輛用戶的信譽(yù)值，同時(shí)增加不同意消息m車輛用戶的信譽(yù)值。若車輛用戶信譽(yù)值過(guò)低，可信中心則會(huì)撤銷該車輛用戶的身份。若車輛用戶(V1…Vn)同意消息m，則對(duì)該消息進(jìn)行簽名，并將簽名后的消息全部上傳給霧節(jié)點(diǎn)，霧節(jié)點(diǎn)進(jìn)行認(rèn)證后將簽名消息進(jìn)行聚合，然后將聚合簽名消息發(fā)送給可信中心進(jìn)行認(rèn)證。以下是數(shù)據(jù)收集與上傳的具體過(guò)程：

①簽名算法。

②附近車輛用戶審查階段。

當(dāng)附近車輛用戶(V1…Vn)接收到車輛用戶廣播的簽名σi=(Ci,Qi)與消息mi之后，若同意消息mi真實(shí)且有效，則驗(yàn)證等式：

QiP=Ci+hs·Ai+hs·hai·PK+hj·PKi

是否成立。若成立，則認(rèn)為VA的簽名合法，其他車輛(V1…Vn)對(duì)消息mi進(jìn)行簽名，并廣播發(fā)送給附近的霧節(jié)點(diǎn)。若附近車輛用戶認(rèn)為車輛用戶VA存在違法行為，可將其向可信中心舉報(bào)?？尚胖行脑隍?yàn)證之后會(huì)對(duì)相應(yīng)車輛用戶的信譽(yù)值進(jìn)行增加或扣除。

③霧節(jié)點(diǎn)聚合簽名階段。

霧節(jié)點(diǎn)在接收到n個(gè)車輛用戶的簽名消息后，會(huì)首先驗(yàn)證每個(gè)車輛用戶的簽名消息是否合法，對(duì)于合法的簽名消息霧節(jié)點(diǎn)會(huì)將其進(jìn)行聚合，對(duì)于違法的簽名消息，霧節(jié)點(diǎn)會(huì)將其摒棄，并上報(bào)TA對(duì)其進(jìn)行違法追蹤，扣除其信譽(yù)值。首先霧節(jié)點(diǎn)對(duì)每一個(gè)單一的消息進(jìn)行計(jì)算：

hs=h5(mi,Fi,PKi,Ai,Ci)

hj=h5(mi,Ai,Fi,Ci,PKi)

hai=h2(Ai‖PK‖f(ti))

驗(yàn)證等式：

QiP=Ci+hs·Ai+hs·hai·PK+hj·PKi

是否成立。若成立，則接受該簽名消息，否則將其丟棄。對(duì)于驗(yàn)證成功的n個(gè)車輛用戶{v1,v2,…,vn}的n個(gè)簽名消息：

{(m1,σ1=(C1,Q1))…(mn,σn=(Cn,Qn))}；

④可信中心批量認(rèn)證階段。

可信中心接收到聚合簽名后，通過(guò)以下等式進(jìn)行批量驗(yàn)證：

若成立,則接受該消息，并將其反饋給導(dǎo)航公司。否則丟棄該消息，并追查違法用戶。

(9)導(dǎo)航信息更新。

導(dǎo)航公司接受到可信中心發(fā)送過(guò)來(lái)的消息后，會(huì)根據(jù)消息及時(shí)地更新相應(yīng)路段的導(dǎo)航信息，大大地緩解交通壓力的同時(shí)降低事故發(fā)生率。

4 安全性分析

4.1 正確性分析

對(duì)單個(gè)簽名進(jìn)行正確性驗(yàn)證。

驗(yàn)證等式：

QiP=Ci+hs·Ai+hs·hai·PK+hj·PKi

是否成立，驗(yàn)證過(guò)程如下：

QiP=(ci+hjSKi+hsSVi)P=

ciP+hjSKiP+hsSViP=

Ci+hjPKi+hs(ai+hais)P=

Ci+hjPKi+hsaiP+hshaisP=

Ci+hjPKi+hsAi+hshaiPK

得證。

同理，可以通過(guò)對(duì)下列等式進(jìn)行驗(yàn)證，得出聚合簽名的正確性：

4.2 安全性證明

該文的聚合簽名方案是基于無(wú)證書的密碼體制，依據(jù)文獻(xiàn)[16]提出的安全模型，該方案的安全性考慮兩種不同的敵手，第一類普通敵手AI以及第二類超級(jí)敵手AII。

定理1：在隨機(jī)預(yù)言模型中，如果在多項(xiàng)式時(shí)間內(nèi)存在一個(gè)普通敵手AI能夠以不可忽略的概率ε贏得游戲，那么一定存在一個(gè)挑戰(zhàn)者能夠以以下的優(yōu)勢(shì)解決ECDLP困難問(wèn)題：

其中，qh2、qh3、qh4、qh5表示對(duì)應(yīng)的哈希預(yù)言機(jī)查詢次數(shù)，qcu表示創(chuàng)建用戶預(yù)言機(jī)查詢次數(shù)，qk表示用戶的部分私鑰查詢次數(shù)。

證明：假設(shè)一個(gè)普通敵手AI在方案中能夠以不可忽略的優(yōu)勢(shì)ε贏得游戲，即成功偽造目標(biāo)用戶VIDi的有效簽名，則認(rèn)為與其交互的挑戰(zhàn)者CE能夠成功解決ECDLP困難問(wèn)題。CE與AI按照如下步驟進(jìn)行游戲交互。

(1)初始化階段。

挑戰(zhàn)者CE執(zhí)行算法構(gòu)建系統(tǒng)，并令Q=PK,挑戰(zhàn)者公開系統(tǒng)參數(shù)，并建立維護(hù)以下四個(gè)列表：

L1列表(VID,A,PK,Th2)

L2列表(VID,PKi,Th3)

L3列表(VID,m,Fi,SKi,A)

L4列表(VID,m,Fi,SKi,A,Th4,Th5,C,Q)

(2)預(yù)言機(jī)查詢階段。

在本階段，第一類普通敵手與挑戰(zhàn)者之間進(jìn)行預(yù)言機(jī)交互。

h2預(yù)言機(jī)查詢：

h3預(yù)言機(jī)查詢：

h4預(yù)言機(jī)查詢：

h5預(yù)言機(jī)查詢：

普通敵手AI以(VID,m)進(jìn)行詢問(wèn)，若在L4列表中已經(jīng)存在相應(yīng)元組，則返回Th5給敵手AI。若不存在，則挑戰(zhàn)者執(zhí)行用戶秘密值預(yù)言機(jī)查詢，以及部分私鑰預(yù)言機(jī)查詢。計(jì)算Th5=h5(mi,Fi,PKi,Ai,Ci)并將Th5返回給敵手AI。

用戶創(chuàng)建預(yù)言機(jī)查詢：

敵手AI以VID向挑戰(zhàn)者進(jìn)行詢問(wèn)，挑戰(zhàn)者查詢L3列表，若元組不存在列表中，則執(zhí)行如下操作：

①當(dāng)VID=VIDm時(shí)。

挑戰(zhàn)者隨機(jī)選擇隨機(jī)選?。?/p>

計(jì)算：

A=a·P

SK1=h3(r1‖f(ti)‖PK)

SK2=h3(r2‖f(ti)‖PK)

SK=b(SK1+SK2),PK=SK·P,SV=⊥

②當(dāng)VID≠VIDm時(shí)。

挑戰(zhàn)者隨機(jī)選擇隨機(jī)選?。?/p>

計(jì)算：

A=a·P

A=SK·P-Th2·Q

然后將其添加到相應(yīng)的列表中。若有相應(yīng)的元組，則挑戰(zhàn)者查詢L1列表，若存在相應(yīng)的(VID,A,Th2)，驗(yàn)證是否滿足h2(A,Q)→Th2，若不滿足，則挑戰(zhàn)者結(jié)束本次游戲，否則返回用戶信息。

用戶秘密值預(yù)言機(jī)查詢：

普通敵手AI以VID進(jìn)行詢問(wèn)，挑戰(zhàn)者查詢L3列表，若在L3列表中已經(jīng)存在相應(yīng)元組，則返回(PK,SK)給敵手AI。

若不存在，挑戰(zhàn)者隨機(jī)選?。?/p>

計(jì)算：

SK1=h3(r1‖f(ti)‖PK)

SK2=h3(r2‖f(ti)‖PK)

SK=b(SK1+SK2)

PK=SK·P

并將(PK,SK)返回給敵手AI。

部分私鑰預(yù)言機(jī)查詢：

公鑰預(yù)言機(jī)查詢：

敵手以VID進(jìn)行詢問(wèn)，挑戰(zhàn)者查詢L3列表，若在L3列表中已經(jīng)存在相應(yīng)元組，挑戰(zhàn)者返回(A,PK)給AI，若不存在相應(yīng)的元組，挑戰(zhàn)者執(zhí)行用戶秘密值預(yù)言機(jī)查詢以及部分私鑰預(yù)言機(jī)查詢。然后將(A,PK)返回給AI。

簽名預(yù)言機(jī)查詢：

當(dāng)挑戰(zhàn)者以(mi,Ai,Fi,VIDi)進(jìn)行詢問(wèn)時(shí)，挑戰(zhàn)者隨機(jī)選擇：

Th2i=h2(Ai‖PK‖f(ti))

并將{Ai,Th2i}加入到L1列表中。

令：

Ci=QiP-hs·Ai-hs·Th2i·PK-Th5i·PKi

將(mi,Ci,Qi,Ai)插入到L3L4中。

(3)輸出階段。

最后，敵手AI輸出(VID,A,m)的一個(gè)偽造簽名，此時(shí)，若VID≠VIDm，則挑戰(zhàn)者宣布失敗，否則，挑戰(zhàn)者從簽名預(yù)言機(jī)中找到如下簽名消息：

(mi,σi=(Ai,Qi),Fi,Ci,PKi)

若挑戰(zhàn)者贏得游戲，則有：

QiP=Ci+hs·Ai+hs·Th2i·PK+Th5i·PKi

(1)

敵手AI能夠在多項(xiàng)式時(shí)間內(nèi)以不同的Qi，hs，重新構(gòu)造一個(gè)新的有效的簽名：

即以下等式成立：

根據(jù)式(1)以及式(2)，挑戰(zhàn)者C可以計(jì)算出：

(3)

最后，計(jì)算挑戰(zhàn)者CE解決ECDLP困難問(wèn)題的優(yōu)勢(shì)，若挑戰(zhàn)者能夠成功解決ECDLP問(wèn)題，應(yīng)同時(shí)滿足以下兩種情況：

E1:挑戰(zhàn)者CE從來(lái)沒有終止過(guò)游戲。

所以，挑戰(zhàn)者取勝的概率為：

ε*=pr[E1∧E2]=pr[E1]pr[E1|E2]

(4)

這其中，pr[E1|E2]=ε。

又經(jīng)過(guò)游戲過(guò)程分析計(jì)算得：

(5)

所以，由式(4)、式(5)可以得出：

顯然，若挑戰(zhàn)者CE能夠以優(yōu)勢(shì)ε*成功偽造出一個(gè)簽名，那么挑戰(zhàn)者便可以解決ECDLP問(wèn)題，然而在隨機(jī)預(yù)言模型下，ECDLP問(wèn)題是困難問(wèn)題，也就是說(shuō)敵手的優(yōu)勢(shì)是不存在的。即該方案可以抵抗敵手AI的偽造攻擊。證明完畢。

定理2：在隨機(jī)預(yù)言模型中，如果在多項(xiàng)式時(shí)間內(nèi)存在一個(gè)超級(jí)敵手AII能夠以不可忽略的概率ε贏得游戲，那么一定存在一個(gè)挑戰(zhàn)者能夠以以下的優(yōu)勢(shì)解決ECDLP困難問(wèn)題：

其中，qh2、qh3、qh4、qh5表示對(duì)應(yīng)的哈希預(yù)言機(jī)查詢次數(shù)，qcu表示創(chuàng)建用戶預(yù)言機(jī)查詢次數(shù)，qb表示用戶的部分私鑰查詢次數(shù)，qm表示用戶秘密值查詢次數(shù)。

經(jīng)證明，該方案能夠抵抗超級(jí)敵手AII的偽造攻擊，方案安全，證明過(guò)程與定理1類似，篇幅限制，在此不再贅述。

5 性能分析

5.1 方案性能對(duì)比

符號(hào)說(shuō)明如表2所示。

表2 符號(hào)說(shuō)明

表3 各方案主要性能對(duì)比

如表3所示，將方案所滿足的主要性能同競(jìng)爭(zhēng)方案做分析比對(duì)，結(jié)果表明，文獻(xiàn)[17]提出的方案不滿足無(wú)雙線性對(duì)且不能抵抗AI類敵手攻擊。文獻(xiàn)[15]采用橢圓曲線構(gòu)造了更輕量的密碼方案，但其卻不能抵抗惡意的KGC攻擊。文獻(xiàn)[11]提出的無(wú)證書聚合簽名方案雖滿足安全性要求，但其卻有著極大的計(jì)算開銷，在VANETs環(huán)境中會(huì)造成極大的通信負(fù)擔(dān)。文中方案在滿足所有的安全性要求的同時(shí)采用橢圓曲線構(gòu)造了更為輕量的無(wú)證書聚合簽名方案，更適用于VANETs通信環(huán)境。

5.2 方案計(jì)算開銷對(duì)比

如表4所示，文獻(xiàn)[11]提出的無(wú)證書聚合簽名方案在簽名算法部分的總計(jì)算開銷為5Tbm+3Tba+4Th，在驗(yàn)證算法部分的總計(jì)算開銷為4Tbp+2Tbm+Tba+4Th，在聚合簽名算法部分的總開銷為4Tbp+7nTbm+nTba+4nTh。同理可得文獻(xiàn)[17]以及文獻(xiàn)[15]所提出方案的總計(jì)算開銷。

表4 方案計(jì)算開銷

在文中方案中，簽名算法的總計(jì)算開銷為Tem+2Th，驗(yàn)證算法的總計(jì)算開銷為5Tem+3Tea+3Th，聚合簽名算法的總開銷為(3n+2)Tem+3nTea+3nTh?？梢钥闯?，由于采用橢圓曲線構(gòu)造了無(wú)證書聚合簽名方案，避免了復(fù)雜的雙線性對(duì)運(yùn)算，使得文中方案在計(jì)算開銷方面較文獻(xiàn)[11，17]提出的無(wú)證書聚合簽名方案有較大優(yōu)勢(shì)。

為了更清楚地對(duì)比方案的計(jì)算效率，在配備Intel Core i5-7500處理器，3.0 GHz主頻，以及8 GB的內(nèi)存環(huán)境下進(jìn)行了一個(gè)模擬實(shí)驗(yàn)。結(jié)果如圖2、圖3所示，將該文提出的方案同文獻(xiàn)[11,15,17]等的方案進(jìn)行計(jì)算效率對(duì)比。

結(jié)果表明，該文提出的方案在簽名算法以及驗(yàn)證算法方面的計(jì)算效率較文獻(xiàn)[11,17]提出的方案有明顯優(yōu)勢(shì)，與文獻(xiàn)[15]基本相當(dāng)。但文獻(xiàn)[15]提出的方案不能抵抗AII類敵手攻擊，因此安全性不如文中方案。此外文中方案采用了聚合簽名技術(shù)，進(jìn)一步降低了計(jì)算開銷，使其可以滿足通信計(jì)算開銷極大的VANETs環(huán)境。

圖2 簽名算法消耗時(shí)間

圖3 驗(yàn)證算法消耗時(shí)間

6 結(jié)束語(yǔ)

針對(duì)VANETs中路況導(dǎo)航信息更新中的安全隱私問(wèn)題，提出了一種基于無(wú)證書密碼體制具有條件隱私保護(hù)以及審查機(jī)制的無(wú)證書聚合簽名方案，并通過(guò)嚴(yán)格的安全性證明表述了方案的安全性。通過(guò)生成臨時(shí)假名，實(shí)現(xiàn)車輛用戶的條件隱私保護(hù)。方案的構(gòu)造過(guò)程中未使用雙線性對(duì)運(yùn)算，并使用聚合簽名技術(shù)使得方案的計(jì)算開銷大大降低。通過(guò)與其他方案的性能分析對(duì)比表明，該方案在安全性及計(jì)算效率上有明顯優(yōu)勢(shì)，適用于VANETs應(yīng)用環(huán)境。