一种面向车联网的高效条件匿名认证方案

引用本文

王青龙, 乔瑞, 樊娜, 段宗涛. 一种面向车联网的高效条件匿名认证方案[J]. 北京交通大学学报, 2019,43(5): 80-86.
WANG Qinglong, QIAO Rui, FAN Na, DUAN Zongtao. An efficient conditional anonymity authentication scheme for VANETs[J]. JOURNAL OF BEIJING JIAOTONG UNIVERSITY, 2019,43(5): 80-86.
Doi:10.11860/j.issn.1673-0291.20190013 复制到剪切板

Permissions

北京交通大学学报编辑部所有

一种面向车联网的高效条件匿名认证方案

王青龙, 乔瑞, 樊娜, 段宗涛

长安大学信息工程学院,西安 710064

通信作者:段宗涛(1977—), 男,陕西西安人,教授,博士.email:ztduan@chd.edu.cn.

第一作者:王青龙(1970—),男,陕西西安人,副教授,博士.研究方向为公钥密码学及应用.email:qlwang@chd.edu.cn.

收稿日期: 2019-01-24

基金: 陕西省重点科技创新团队项目(2017KCT-29); 陕西省重点研发计划(2017GY-072,2018GY-136, 2018GY-022 , 2018GY-032); 陕西省国际科技合作计划(2017KW-015); 陕西省留学人员科技活动择优资助科技项目(2017023)

摘要

针对传统基于公钥基础设施(Public Key Infrastructure, PKI)的匿名证书方案需要更新的问题,提出一种车联网匿名证书分发机制,车辆从途经的路侧单元(Road Side Unit, RSU)获得临时匿名证书,并利用该证书进行消息广播.因而不存在复杂的证书管理问题,并且车辆在认证消息时也不需要耗时的证书撤销列表(Certificate Revocation List, CRL)检查,显著提高了认证效率.安全分析表明本文方案满足匿名性、不可关联性、可追踪性、撤销性及消息完整性,能够抵抗伪造攻击、假冒攻击和重放攻击,特别是与已有类似方案相比较,能够抵抗RSU的关联攻击.实验结果显示本文方案具有较高的计算效率,具有实际应用价值.

关键词: 车联网; 匿名证书; 认证; 可追踪性; 假冒攻击

中图分类号:TP309.7 文献标志码:A 文章编号:1673-0291(2019)05-0080-07

An efficient conditional anonymity authentication scheme for VANETs

WANG Qinglong, QIAO Rui, FAN Na, DUAN Zongtao

School of Information Engineering, Chang’an University, Xi’an 710064, China

Fund:Funds for Key Scientific and Technological Innovation Team of Shaanxi Province(2017KCT-29); Funds for Key Research and Development Plan Project of Shaanxi Province(2017GY-072,2018GY-136, 2018GY-022 , 2018GY-032); Funds for International Scientific and Technological Cooperation Project of Shaanxi Province(2017KW-015); Fund Program for the Scientific Activities of Selected Returned Overseas Professionals in Shaanxi Province(2017023)

Abstract

Accoding to the traditional anonymous certificate schemes which are based on Public Key Infrastructure (PKI), anonymous certificates in the proposed scheme do need to be updated,this paper proposes an efficient anonymous certificate distribution mechanism for Vehicle Ad Hoc Networks (VANETs). A vehicle obtains a temporary anonymous certificate from the nearby Road Side Unit (RSU), and uses the certificate to broadcast messages. and vehicles also need not to check the Certificate Revocation List (CRL) which is time-consuming when authenticating messages, which significantly improves the authentication efficiency. The proposed scheme satisfies anonymity, unlinkability, traceability, revocation and message integrity. Security analysis shows it can resist forgery attack, impersonation attack and replay attack. Moreover, in comparison with existed similar schemes, it can also resist RSU linkage-attack. The experimental results show that the proposed scheme is computationally efficient and practicable.

Keyword: anonymous certificate; authentication; traceability; impersonation attack

文章图片

当前, 车联网(Vehicle Ad Hoc Networks, VANET)已成为发展智能交通系统的主要方式, 在VANET环境下, 每辆车都配备一个车载单元(On Board Unit, OBU), 允许它与其他车辆通信, 这种类型的通信是车-车(Vehicle to Vehicle, V2V)通信.此外, 车辆还可以与路侧单元(Road Side Unit, RSU)通信, 这被称为车辆-RSU(Vehicle to Infrastructure/RSU, V2I/V2R)通信^[1].在车联网环境中, 通过V2V和V2I的通信, 能够极大改善道路交通状况, 减少交通事故, 同时还能够向车辆提供视频、音乐等定制性娱乐服务, 为用户的生活带来极大的便利, 提升了用户驾驶的优越感.但是VANET无线通信本身也面临着各种复杂的安全威胁, 如攻击者通过改变或伪造恶意数据进行伪造攻击或者假冒攻击, 攻击者通过关联同一车辆发送的消息实施关联攻击, 能够获得用户的工作位置、家庭位置、娱乐行为、生活习惯等隐私信息, 从而给用户带来安全隐患.因此, 防止用户通信过程中的隐私泄露, 对用户的隐私进行保护成为车联网系统中安全通信的最基本需求^[2], 而进行隐私保护的基本方法之一是匿名认证^[3].为了防止有些车辆滥用匿名机制发送恶意消息, 可信实体(Trusted Authority, TA)需要追踪发送恶意消息的车辆, 意味着匿名是有条件的.

近年来, 国内外学者针对车联网的条件匿名认证提出了不少解决方案, 如基于公钥基础设施(Public Key Infrastructure, PKI)机制认证方案^{[4, 5]}, TA需要给每个车辆颁发多个匿名证书, 该证书中不包括与车辆真实身份有关的任何消息.为了防止关联攻击, 颁发的每个匿名证书只能少量而且有限次被使用, 所以TA需要定期或不定期的给车辆颁发新的匿名证书.这类方案存在的主要问题是车辆需要同时存储多个匿名证书, 导致TA存储开销较大.另外, 为了防止接收使用被撤销证书发送的消息, 车辆需要进行耗时的证书撤销列表(Certificate Revocation List, CRL)检查, 导致计算开销大以及复杂的CRL更新等问题.文献[6]提出了一种不需要TA颁布匿名证书的基于身份的公钥密码机制.该方案的主要思想是TA要求每个车辆将系统主密钥存储在防篡改设备(Tamper Proof Device, TPD)中, 车辆可以利用存储的系统主密钥, 生成足够多的匿名证书, 可以避免管理证书时的复杂问题.但该方案的不足是对TPD的安全性假设太强, 它假设攻击者不能从TPD中获得任何存储信息.但攻击者利用旁路攻击, 就有可能从TPD中得到大量消息, 从而导致系统中用户通信的不安全^[7].文献[8, 9]在之前方案的基础上分别提出了EAAP(Efficient Anonymous Authentication With Conditional Privacy-Preserving Scheme)和CPAV(Computationally Efficient Privacy Preserving Anony-mous Mutual and Batch Authentication Schemes)两种方案, 该方案声称车辆既不需要将系统主密钥提前存储在TPD中, 也不需要TA颁发匿名证书.相反, 车辆和RSU可以自己生成匿名证书来保护他们的隐私, 但是该方案不能抵抗外部攻击.还有一些方案为了避免TA分发和管理证书, 通过采用群签名机制^[10], 签名的验证只需要群公钥验证即可, 且只有群管理员才可以打开一个签名, 找出对某一消息签名的群成员, 但是这类方案存在签名长度大, 时间长等不足, 而且车辆快速移动使得难以对群成员进行有效的动态管理.文献[11]提出了一种层次式证书分发机制, 方案的主要思路是车辆从途经的RSU获得有效期很短的临时匿名证书, 因而不存在证书撤销等复杂的证书管理问题.同时, 方案中只有RSU需要进行CRL检查, 车辆在认证时不再需要进行CRL检查.但是基于耗时的双线性对算法, 并且车辆仍然需要从TA获得一个固定的假名, 车辆向RSU认证自己时需要发送该固定假名给RSU, 这种情况下, 车辆有可能遭到RSU的关联攻击, 即当车辆与同一个RSU进行多次认证时(比如车辆每天需要经过相同的路段, 则需要与相同的RSU进行多次认证), RSU可以通过关联该固定假名获得车辆的出行习惯, 从而造成车辆隐私的泄露.文献[12]提出了一种基于条件隐私协议的假名认证方案, 方案中车辆首先从可信中心(Motor Vehicle Division, MVD)处获得一个固定票据(ticket), 车辆通过发送该ticket向RSU认证自己的合法身份, 并从RSU得到一个令牌(token), 利用该token车辆生成多个假名用于广播消息.但是该方案依然基于耗时的双线性对运算, 并且车辆从MVD得到的ticket也是固定不变的, 因此也不能抵抗RSU的关联攻击.

为了解决当前车联网系统中匿名认证存在的问题, 本文作者提出一个新的基于层次式证书分发的高效条件匿名认证方案, 该方案不仅能够实现匿名性, 不可关联性, 追踪性, 能够抵抗假冒攻击, 伪造攻击, 关联攻击等.而且节约了证书储存所占用的空间, 避免了复杂的证书更新和证书撤销负担.与文献[11]和[12]相比, 本文方案的主要优点是车辆不需要从TA获得任何形式的匿名证书, 并且能够抵抗RSU的关联追踪, 更好保护车辆隐私.

1 VANET网络系统

1.1 VANET网络系统模型

匿名认证方案的车联网模型如图1所示, 包含3个主体, 一个可信实体, 多个RSU和多个车辆.其中:TA是车联网系统的建立者和管理者, 是一个可信任机构, 负责生成系统全局的安全参数以及所有实体的密钥.RSU通常由沿道路建立的固定设施组成, 是一个半可信机构, 通过有线连接与TA通信, 通过专用短程通信协议(Dedicated Short Range Communication, DSRC)^[13], 与安装在车上的OBU通信.

	Figure Option View Download New Window
	图1 VANET系统模型Fig.1 System model diagram for VANET

车辆 $v_{i}$ :每个车辆上都安装有OBU通信设备, 通过DSRC与其它车辆的OBU或RSU进行通信.每辆车上都安装有防篡改装置TPD, 该装置用来存储来自于TA的安全参数以及车辆私钥.每个车辆另安装有全球定位系统(Global Positioning System, GPS)设备用以提供时间、位置等信息.

1.2 VANET网络安全模型

假设系统中TA和RSU之间的有线信道是安全信道, 车辆和车辆、车辆和RSU之间的无线信道是不安全信道, TA为可信实体, 可以抵抗任何攻击.RSU为半可信实体, 会按照规定的协议过程执行, 但又对用户隐私有好奇心, 可能会利用认证信息获取车辆隐私.车辆 $v_{i}$ 属于不可信实体, 可能存在恶意车辆通过不安全信道实施篡改、重放、假冒、伪造等多种网络攻击, 本文以下所称攻击者均指的是系统内的恶意车辆.

1.3 VANET网络安全目标

匿名性:本方案中只有TA可以获得车辆的真实身份, 其余实体均不能获得其真实身份.

不可关联性:本方案中不可关联性是指, 攻击者不能够确认来自不同RSU范围内的消息是否为同一车辆所广播.

消息完整性:确保通信过程中所接收消息没有被篡改.

追踪性:对于发送恶意消息的车辆, TA能够追踪出其真实身份.

撤销性:对于被撤销的恶意车辆, 其将不能从RSU获得临时证书.

抗RSU关联攻击:当车辆与同一个RSU之间进行了多次认证行为时, 该RSU不能判断这些认证消息是否来自于同一个车辆.

2 面向车联网的高效条件认证方案

2.1 系统初始化

设 $p$ 和 $q$ 是两个大素数, 满足 $q | p - 1$ , $G$ 是阶为 $q$ 的乘法循环群, $g$ 为群 $G$ 的一个生成元, 假设 $G$ 中求解以 $g$ 为底的离散对数为困难问题(除非特别说明, 本文所有算术都是模 $p$ 运算).TA初始化系统参数通过以下步骤:

1)TA随机选择向量 $A = (a_{1}, a_{2}, ..., a_{n})$ , B= $(b_{1}, b_{2}, ..., b_{n})$ , 其中 $a_{i}, b_{i} \in {Z_{q}}^{*}$ , $1 \leq i \leq n$ , 称 $A$ 为认证向量, $B$ 为追踪向量.令 $η_{i} = {a_{i}}^{- 1} b_{i}$ , $1 \leq i \leq n$ .

2)TA另随机选择系统主密钥 $s \in {Z_{q}}^{*}$ .TA公开系统参数 $(g, q, p)$ 并保存 $(p, q, g, A, B, s)$ .

3)TA生成自己的签名密钥对 $(s k_{TA}, p k_{TA})$ 及相应的证书 $c_{ert, TA} = (s k_{TA} ‖ p k_{TA})$ 并公开 $c_{ert, TA}$ .

2.2 车辆注册过程

车辆进入车联网系统必须先向TA注册其真实身份 $R_{ID, i}$ (例如车牌号码, 用户身份证号码等).若车辆身份经核实无误后, TA随机选择向量 $X_{i} = (x_{i 1}, x_{i 2}, ..., x_{in})$ , 满足 $\sum_{j = 1} a_{j} x_{ij} = s \mod q$ , 然后再计算 $y_{i} = \sum_{j = 1} b_{j} x_{ij} \mod q$ 并将 $R_{ID, i} ‖ y_{i}$ 存储在追踪表 $T_{L}$ 中.(若 $y_{i}$ 与 $T_{L}$ 中的已有存储值相等, 则重新选择 $x_{i 1}, x_{i 2}, ..., x_{in}$ ).

2.3 RSU注册过程

对于RSU, TA通过以下方式发放证书:

1)TA随机选择 $r \in Z_{q}^{*}$ , 作为RSU的私钥, 并计算相应的公钥 $P_{s} = g^{rs}$ , $P_{j} = g^{r a_{j}}$ , $1 \leq j \leq n$ .

2)TA随机生成签名公私钥对 $(s k_{i (rsu)}, p k_{i (rsu)})$ 及相应的证书 $c_{ert,} R_{SU, i} = p k_{(rsu) i} ‖ si g_{sk TA} (p k_{(rsu) i})$ .

3)TA存储 $(c_{ert, RSU, i} ‖ r)$ , 并通过安全信道把 $η_{1}, ..., η_{n}$ , $g^{r a_{1}}, g^{r a_{2}}, ..., g^{r a_{n}}$ , $g^{rs}$ , $s k_{i (rsu)}$ 以及 $c_{ert, RSU, i}$ 发给RSU.

2.4 车辆认证过程

车辆 $v_{i}$ 进入一个新的RSU通信区域时, 车辆需要匿名证明自己的合法身份并从RSU得到临时匿名证书.协议过程如下:

每个RSU周期性广播用于认证的消息.当 $RS U_{i}$ (第 $i$ 个RSU)广播一个新认证消息时, $RS U_{i}$ 随机选择 $R \in Z_{q}^{*}, R_{j} \in Z_{q}^{*} (1 \leq j \leq n), R_{t} \in Z_{q}^{*},$ 并计算 $P_{s} = g^{rs}, B_{s} = {P_{s}}^{R}, T_{j} = {P_{j}}^{R R_{j}} = g^{r a_{j} R R_{j}}, 1 \leq j \leq n. {R_{SU,}}_{i}$ 广播当前消息 ${A_{uth,}}_{{R_{SU,}}_{i}} = B_{1} ‖ B_{s} ‖ P_{s} ‖ {c_{ert,}^{}}_{{R_{SU,}}_{i}} ‖ σ,$ 其中 $B_{1} = T_{1} ‖ T_{2} ‖ ... ‖ T_{n}, σ = si g_{s k_{i}^{(rsu)}} (B_{1} ‖ B_{s} ‖ P_{s} ‖ {c_{ert,}^{}}_{{R_{SU,}}_{i}})$ 为RSU的签名.

当车辆 $v_{i}$ 刚进入RSU的通信区域时, 其将接收到RSU当前广播的 ${A_{uth,}}_{{R_{SU,}}_{i}}$ , 并进行下列步骤:

1) $v_{i}$ 首先利用公钥 $p k_{T_{A}}$ 验证证书 ${c_{ert,}^{}}_{{R_{SU,}}_{i}}$ , 若有效, 存储 ${c_{ert,}^{}}_{{R_{SU,}}_{i}}$ 并继续; 否则终止认证过程.

2) $v_{i}$ 再利用 ${c_{ert,}^{}}_{{R_{SU,}}_{i}}$ 中包含的公钥 $p k_{i}^{(rsu)}$ 验证签名 $σ$ 是否有效, 若有效则继续; 否则终止认证过程.

3) $v_{i}$ 随机选择 $R_{v} \in {Z_{q}}^{*}$ , 计算 $β = {P_{s}}^{R_{v}}$ , 再使用私钥 $X_{i}$ 计算 $V_{j} = T_{j}^{R_{v} x_{ij}}$ , $1 \leq j \leq n$ . $v_{i}$ 另计算加密密钥 $K_{iR} = B_{s}^{R_{v}}$ .同时, $v_{i}$ 随机生成公私钥对 $(s k_{i}^{(v_{i})}, p k_{i}^{(v_{i})})$ . $v_{i}$ 加密 $p k_{i}^{(v_{i})}$ 得

$c_{1} = E_{K_{iR}} (p k_{i}^{(v_{i})}),$

签名

$σ_{1} = HMA C_{K_{iR}} (V_{1} ‖ ... ‖ V_{n} ‖ β ‖ c_{1}),$

其中 $1 \leq i \leq n$ .最后广播认证消息 ${A_{uth,}}_{v_{i}} = V_{1} ‖ ... ‖ V_{n} ‖ c_{1} ‖ β ‖ σ_{1}$ .

$R_{SU, i}$ 收到消息 $A_{uth, v_{i}}$ 后, 通过以下过程进行验证:

1)根据当前公布的 $T_{L}$ , 遍历 $T_{L}$ 验证是否存在记录 $y_{i}$ , 使得

$\overset{n}{\prod_{j = 1}} {(V_{j})}^{x_{ij} b_{j} R_{j}^{- 1} R^{- 1}} = β^{y_{i}}$ (1)

成立, 若存在, 表明车辆已被撤销, 则RSU终止认证过程, 否则继续.

事实上, 若车辆 $v_{i}$ 被撤销, 则有 $\overset{n}{\mathop{\underset{j=1}{\mathop{\prod }}\,}}\,{{\left( {{V}_{j}} \right)}^{{{x}_{ij}}{{b}_{j}}R_{j}^{-1}{{R}^{-1}}}}=\overset{n}{\mathop{\underset{j=1}{\mathop{\prod }}\,}}\,{{({{P}_{j}}^{R{{R}_{j}}{{R}_{v}}{{x}_{ij}}})}^{{{x}_{ij}}{{b}_{j}}R_{j}^{-1}{{R}^{-1}}}}=\overset{n}{\mathop{\underset{j=1}{\mathop{\prod }}\,}}\,{{g}^{r{{R}_{v}}{{x}_{ij}}{{b}_{j}}{{a}_{j}}{{x}_{ij}}}}=$${{g}^{r{{R}_{v}}\overset{n}{\mathop{\underset{j=1}{\mathop{\sum }}\,}}\,{{x}_{ij}}{{b}_{j}}\overset{n}{\mathop{\underset{j=1}{\mathop{\sum }}\,}}\,{{x}_{ij}}{{a}_{j}}}}={{g}^{r{{R}_{v}}s{{y}_{i}}}}=P_{s}^{{{R}_{v}}{{y}_{i}}}={{\beta }^{{{y}_{i}}}}$表明 $T_{L}$ 中一定存在记录 $y_{i}$ , 使得式(1)成立, 即被撤销车辆一定能被检测出来.

2)计算加密密钥 $K_{Ri} = \prod_{j = 1} {(V_{j})}^{R_{j}^{- 1}}$ , $σ'_{1} = HMA C_{K_{Ri}} (V_{1} ‖ ... ‖ V_{n} ‖ β ‖ c_{1})$ , 验证

$σ_{1} = σ_{1}'$ (2)

是否成立, 若成立, 则 $v_{i}$ 通过认证, 否则终止进行.

3)计算 $c_{1}$ 解密后的消息 $D_{K_{Ri}} (c_{1}) = p k_{i}^{(v_{i})}$ .

4) $R_{SU, i}$ 生成证书

$c_{ert, i} = p k_{i}^{(v_{i})} ‖ si g_{s k_{i}^{(rsu)}} (p k_{i}^{(v_{i})}) ‖ t,$

其中 $t$ 为证书的有效期限.

5) $R_{SU, i}$ 加密 $c_{ert, i}$ 得 $c_{2} = E_{K_{Ri}} (c_{ert,_{i}})$ , 并广播 $c_{2}$ .同时, $R_{SU, i}$ 记录 $V_{1}^{R^{- 1} R_{1}^{- 1}} ‖ ... ‖ V_{n}^{R^{- 1} R_{n}^{- 1}} ‖ {K_{Ri}}^{R^{- 1}}$ 以及 $p k_{i}^{(v_{i})}$ .

6) $v_{i}$ 收到消息 $c_{2}$ 后, 进行解密运算得

$D_{K_{iR}} (c_{2}) = c_{ert, i}$ (3)

车辆验证证书中的时间是否有效并使用 $R_{SU, i}$ 的公钥 $p k_{i}^{(rsu)}$ 验证签名是否正确, 若有效并且通过验证, 则车辆 $v_{i}$ 存储证书.

正确性证明:合法用户一定能通过验证并得到相应的证书, 只需证明 $K_{Ri} = K_{iR}$ 成立即可.

事实上有

$\begin{array}{l} K_{Ri} = \prod_{j = 1} {(V_{j})}^{R_{j}^{- 1}} = \prod_{j = 1} {(T_{j}^{R_{v} x_{ij}})}^{R_{j}^{- 1}} = \\ \prod_{j = 1} {({P_{j}}^{R R_{v} x_{ij} R_{j}})}^{R_{j}^{- 1}} = \prod_{j = 1} g^{R R_{v} x_{ij} r a_{j}} = \\ g^{r R_{v} R \sum_{j = 1} a_{j} x_{ij}} = g^{rsR R_{v}} = {P_{s}}^{R R_{v}} = B_{s}^{R_{v}} = K_{iR} \end{array}$ (4)

表明式(2)、(3)一定成立.

2.5 消息生成过程

车辆 $v_{i}$ 想广播消息 $m$ 时, 使用椭圆曲线数字签名算法(Elliptic Curve Digital Signature Algo-rithm, ECDSA), 生成签名 $σ_{m} = si g_{s k_{i}^{(v_{i})}} (m)$ , 广播消息 $m_{sg} = c_{ert, i} ‖ m ‖ t ‖ σ_{m}$ , 其中 $t$ 为系统当前时间, 用于防止重放攻击.

2.6 消息验证过程

设车辆 $v_{j}$ (第 $j$ 个车辆)或 $R_{SU, i}$ 接收到消息 $m_{sg}$ 后, 则通过以下过程进行消息验证:

1)通过时戳 $t$ 判断消息是否有效.若是, 则继续; 否则, 抛弃消息.

2)利用自身存储的 $p k_{i}^{(rsu)}$ 对 $c_{ert, i}$ 进行验证, 若验证通过且处于有效期则继续; 否则, 抛弃消息.

3)利用 $p k_{i}^{(v_{i})}$ 对签名 $σ_{m}$ 进行验证, 若通过则接受消息 $m$ ; 否则将其丢弃.

2.7 TA的追踪过程

可追踪性:对于广播的恶意消息 $m_{sg}$ , ${R_{SU,}}_{i}$ 首先从 $c_{ert,_{i}}$ 得到相应的 $p k^{(v_{i}) i}$ , 并查找记录得到对应 $p k_{i}^{(v_{i})}$ 的 $V_{1}^{R^{- 1} R_{1}^{- 1}} ‖ ... ‖ {V_{n}}^{R^{- 1} R_{n}^{- 1}} ‖ {K_{Ri}}^{R^{- 1}}$ , 令 $Q_{s} = {K_{Ri}}^{R^{- 1}}$ , $Q_{j} = {V_{j}}^{R^{- 1} R_{_{j}}^{- 1}}$ , $1 \leq j \leq n$ , 提交 $Q_{1} ‖ ... ‖ Q_{n} ‖ Q_{s}$ 给TA.

TA执行追踪过程:

1)计算 $s_{1} = {Q_{s}}^{s^{- 1}} = g^{r R_{v}}$ .

2)计算 $s_{2} = \prod_{j = 1} {(Q_{j})}^{a_{j}^{- 1} b_{j}}$ .

3)TA遍历追踪列表 $T_{L}$ , 计算 ${s_{1}}^{y}$ 并验证 ${s_{1}}^{y} = s_{2}$ 是否成立.若有 ${s_{1}}^{y} = s_{2}$ , 则对应的 ${R_{ID,}}_{i}$ 为发送消息的真实身份.

TA将对应恶意车辆的 $y_{i}$ 添加到CRL中, 并更新所有RSU的CRL.

正确性证明:

$\begin{array}{l} s_{2} = \prod_{j = 1} {(Q_{j})}^{a_{j}^{- 1} b_{j}} = \prod_{j = 1} {({V_{j}}^{R^{- 1} R_{j}^{- 1}})}^{a_{j}^{- 1} b_{j}} = \\ \prod_{j = 1} {({T_{j}}^{R^{- 1} R_{j}^{- 1} R_{v} x_{ij}})}^{a_{j}^{- 1} b_{j}} = \prod_{j = 1} {({P_{j}}^{R_{v} x_{ij}})}^{a_{j}^{- 1} b_{j}} = \\ \overset{n}{\prod_{j = 1}} {(g^{R_{v} x_{ij} r a_{j}})}^{a_{j}^{- 1} b_{j}} = \overset{n}{\prod_{j = 1}} g^{R_{v} x_{ij} r b_{j}} = \\ g^{R_{v} r \sum_{j = 1} x_{ij} b_{j}} = g^{R_{v} r y_{i}} \end{array}$ (5)

若 ${s_{1}}^{y} = s_{2}$ , 意味着 $g^{R_{v} ry} = g^{R_{v} r y_{i}}$ , 即有 $y = y_{i}$ .

如果争议的消息是车辆 $v_{i}$ 广播的, 则追踪算法追踪出的必定是 $v_{i}$ .

证明:因为车辆广播消息前已经通过认证, 意味着 $K_{Ri} = K_{iR}$ , 则可以得出 $v_{i}$ 在计算 $K_{iR}$ 和 $V_{j}$ 时使用的 $R_{v}$ 一定是相同的, 因此有 ${s_{1}}^{y} = s_{2} \Leftrightarrow g^{r R_{v} y} = g^{r R_{v} y_{i}} \Rightarrow y = y_{i}$ .

3 安全性分析

3.1 车辆的匿名性

由上述可知, 车辆 $v_{i}$ 广播的消息有两类:1)用于认证的消息 $A_{uth, v_{i}}$ ; 2)消息 $m_{sg}$ .因为车辆获得的证书中不包含与车辆身份相关的任何信息, 因此攻击者不能从 $m_{sg}$ 中得到有关车辆身份的任何信息. $A_{uth, v_{i}}$ 中包含了 $v_{i}$ 的私钥 $X_{i}$ 信息(因为私钥和车辆身份是一一对应的, 将私钥看作是车辆身份信息的一部分), 但是攻击者要得到 $X_{i}$ 的信息必须求解离散对数困难问题.因此车辆的匿名性是有保障的.

3.2 不可关联性

当车辆在不同RSU通信区域内时, 每个RSU都会给车辆颁发不同的匿名证书.由于在不同的区域内匿名证书不同, 所以证书生成的消息也不同, 因此攻击者不能确认不同消息是否为同一个车辆所广播.当车辆在同一个RSU区域内时, 如果车辆得到的临时匿名证书在有效期内, 那么车辆可以使用该证书生成多个消息, 这样会导致攻击者关联这些消息.但是一方面由于RSU的通信范围只有300 m, 一般情况下通过这种小范围的局部关联很难获得关于车辆隐私的足够信息.另一方面, 在车辆对隐私性要求特别高的情况下, 车辆可以随时发起新的认证过程得到另一个新的临时匿名证书, 而不需要等到现有临时匿名证书到期再申请, 通过这种方式可以有效减少可关联消息的数量.

3.3 抗假冒攻击

要想实现假冒攻击, 攻击者可以通过两种方式实施攻击:1)通过得到合法车辆的私钥, 从而冒充合法车辆进行车辆认证.而该私钥 $s k_{i}^{(v_{i})}$ 只有该合法车辆知道, 攻击者无法获得.2)攻击者从合法车辆广播的消息 $m_{sg}$ 中获得车辆的临时匿名证书 $c_{ert, i}$ 的值, 攻击者可以利用该证书生成假冒消息 $m_{sg}' = c_{ert,_{i}} ‖ m'‖ t ‖ σ'_{m}$ .但是攻击者没有证书 $c_{ert, i}$ 对应的签名私钥 $s k_{i}^{(v_{i})}$ , 因此攻击者产生的签名 $σ'_{m}$ 无法通过验证.由以上分析可以得出, 本文所提方案能够抵抗假冒攻击.

3.4 抗RSU关联攻击

RSU可通过关联车辆多次认证时采用的固定假名得到车主的隐私信息.但是本文中, 车辆进行认证时, 广播的消息 $A_{uth, v_{i}} = V_{1} ‖ ... ‖ V_{n} ‖ c_{1} ‖ β ‖ σ_{1}$ 中不包含假名, 而且该认证消息中的 $V_{1} ‖ ... ‖ V_{n}$ 、 $β$ 和 $σ_{1}$ 中都使用了随机数 $R_{v}$ , 当车辆在同一个RSU通信区域内进行了多次认证时, 由于每次 $R_{v}$ 的值都不同, 在求解离散对数为困难问题的假设下, RSU不能区分不同的认证消息是否由同一个车辆生成, 意味着攻击者无法关联同一车辆发起的多个认证消息.由以上分析可以得出, 本文方案能够抵抗RSU的关联攻击.

3.5 抗消息篡改攻击

车辆完成认证后, 车辆需要向其它车辆或RSU广播当前消息 $m_{sg}$ .在车辆广播消息的过程中, 攻击者可以通过不安全的无线信道截获消息 $m$ , 实施篡改攻击.但本文方案中, 车辆会用自己的私钥 $s k_{i}^{(v_{i})}$ 对消息 $m$ 进行签名, 生成签名信息 $σ_{m} = si g_{s k_{i}^{(v_{i})}} (m)$ , 而签名私钥 $s k_{i}^{(v_{i})}$ 只有车辆自己知道, 攻击者无法获得, 因此攻击者对消息实施篡改后无法生成正确的签名.由以上分析可以得出, 本文所提方案能够抵抗消息篡改攻击, 同时也说明本方案能够实现消息的完整性.

4 性能评估

4.1 计算开销分析

本文选用的有限域为$F_p$ 的椭圆曲线 $E : y^{2} = x^{3} + x (\mod p)$ ^[14], 其中 $p$ 为512 bit的素数. G是椭圆曲线E上的一个循环子群, 点P是G的一个生成元, 点P在该椭圆曲线上的阶为q, 其中q为160 bit的大素数.为了便于与其他方案进行计算开销的定量分析和比较, 假定 $T_{pmul}$ 代表一次点乘运算, $T_{pair}$ 代表一次双线性对运算, $T_{\exp}$ 代表一次指数运算, $T_{h}$ 代表一次哈希运算, ${E_{CC,}}_{sign}$ 代表一次ECDSA签名, ${E_{CC,}}_{ver}$ 代表一次ECDSA签名的验证.以上基础操作是影响计算性能的主要因素, 至于其他影响很小的操作, 可忽略不计.这5个基础操作在该实验平台下的计算消耗如下: $T_{pmul}$ 为0.762 ms, $T_{pair}$ 为5.59 ms, $T_{\exp}$ 为0.68 ms, ${E_{CC,}}_{sign}$ 为1.3 ms, ${E_{CC,}}_{ver}$ 为2.18 ms.上述实验硬件环境为64 bit Intel(R) Core(TM)i7-6700 3.40 GHz CPU、16 GB 内存, 软件环境为java 1.8.0_131, eclipse 2018-09.每个基础操作运行时间都是在该实验环境下运行1 000次得出的平均值.

在本方案的认证过程中, 假设消息为100 byte, 车辆进行一次完整的认证过程需要进2次ECDSA签名运算和16次指数运算.本文的签名算法采用ECDSA签名, 可以得出车辆完成一次完整的认证过程所消耗的时间为 $16 T_{\exp} + 2 {E_{CC,}}_{sign} + 2 E_{CC, ver} = 17 . 84_{}^{} ms$ .

针对车辆广播消息时的消息签名和验证计算开销, 表1给出了本文方案与已文献[11, 12]的比较.其中文献[12]采用的是BLS^[15]签名, 文献[11]采用的是设计的签名算法, 本文方案采用的是ECDSA签名, 实验中本文方案取向量 $A, B$ 的长度为3(即 $n = 3),$ 计算总开销=消息签名开销+消息验证开销.从表1中可以得出本文方案在总的时间消耗上显著低于其余两个方案.

表1 消息签名和验证计算开销比较 Tab.1 Comparisons of message signature and verification calculation consumption

方案名称	消息签名基础操作	消息验证基础操作	计算总开销/ms
ECPP^[11]	$T_{pmul}$	10 $T_{pmul}$ +3 $T_{pair}$	25.152
PACP^[12]	$T_{pmul}$	$T_{pair}$	6.352
本文方案	$T_{pmul}$	2 $T_{pmul}$	2.286

表1 消息签名和验证计算开销比较 Tab.1 Comparisons of message signature and verification calculation consumption

4.2 安全性分析

本文通过以下6个方面对3个方案进行了安全性对比分析, 分析结果如表2所示.

表2 安全性对比 Tab.2 Security comparisons

从表2中可以得出ECCP和PACP方案均不能实现抗RSU关联攻击, 因此从安全性角度考虑, 本文方案优于其余两个方案.

4.3 通信开销分析

通信开销是指车辆广播消息时所发送消息的大小(bytes字节长度).在文献[11]中, 用的是ECDSA签名算法, 签名为40 bytes, ID所占空间为2 bytes, 原始消息为100 bytes, 证书为121 bytes, 假名为26 bytes; 在文献[12]中, 采用的是BLS^[15]签名算法, 签名为20 bytes, ID所占空间为1 bytes, 原始消息为100 bytes, 证书为121 bytes, 假名80 bytes; 本文方案中, 同样采用ECDSA签名算法, 签名为40 bytes, ID所占空间为1bytes, 原始消息为100 bytes, 证书是121 bytes.3种方案的通信开销如下:ECPP为40+2+100+121+26=289 bytes, PACP为20+1+100+121+80=322 bytes, 本文方案为40+1+100+121=262 bytes.通过分析可以发现, 本文方案在车辆发送一条消息时, 在通信开销方面也存在一定的优势.主要原因是本文方案中广播消息时不需要包含假名信息.

5 结论

1)针对当前车联网匿名认证过程中存在的效率及CRL检查问题, 提出了一种高效的条件匿名认证方案.方案中车辆不需要从TA获得任何的固定假名或匿名证书, 能够抵抗RSU关联攻击, 性能分析结果表明本文方案在计算开销、安全性能、通信开销方面相比于已有同类方案都有所改进.

2)由于采用了层次证书分发机制, 车辆不需要存储大量的匿名证书, 也不需要进行耗时的CRL检查, 消除了传统基于证书的匿名认证方案中存在的证书撤销、更新等复杂证书管理问题, 提高了认证效率.

参考文献

文献列表

[1]	DUA A, KUMAR N, BAWA S. A systematic review on routing protocols for vehicular ad hoc networks[J]. Vehicular Communications, 2014, 1(1): 33-52. [本文引用:1]
[2]	KWON J, CHANG H, SHON T, et al. Neighbor stability-based VANET clustering for urban vehicular environments[J]. The Journal of Supercomputing, 2016, 72(1): 161-176. [本文引用:1]
[3]	LI Y, DAI W, MING Z, et al. Privacy protection for preventing data over-collection in smart city[J]. IEEE Transactions on Computers, 2016, 65(5): 1339-1350. [本文引用:1]
[4]	RAYA M, HUBAUX J. Securing vehicular ad hoc networks[J]. Journal of Computer Security, 2007, 15(1): 39-68. [本文引用:1]
[5]	STUDER A, SHI E, BAI F, et al. Tacking together efficient authentication, revocation, and privacy in VANETs[C]//IEEE Communications Society Conference on Sensor, Mech &Ad Hoc Communication & Networks, 2009: 22-26. [本文引用:1]
[6]	ZHANG C, LU R, LIN X, et al. An efficient identity based batch verification scheme for vehicular sensor networks[C]//International Conference on Computer Communications. Phoenix, 2008: 246-250. [本文引用:1]
[7]	KILTZ E, PIETRZAK K. Leakage resilient elgamal encryption[C]//International Conference on the Theory and Application of Cryptology and Information Security. Singapore, 2010: 595-612. [本文引用:1]
[8]	AZEES M, VIJAYAKUMAR P, DEBOARH L, et al. EAAP: Efficient anonymous authentication with conditional privacy-preserving scheme for vehicular Ad Hoc networks[J]. IEEE Intelligent Transportation Systems Society, 2017, 18(9): 2467-2476. [本文引用:1]
[9]	VIJAYAKUMAR P, CHANG V, DEBORAH L, et al. Computationally efficient privacy preserving anonymous mutual and batch authentication schemes for vehicular ad hoc networks[J]. Future Generation Computer System, 2018, 78(3): 943-955. [本文引用:1]
[10]	QU F, WU Z, WANG F, et al. A security and privacy review of VANETs[J]. IEEE Transactions on Intelligent Transportation Systems, 2015, 16(6): 1-12. [本文引用:1]
[11]	LU R, LIN X, ZHU H, et al. ECPP: Efficient conditional privacy-preservation protocol for secure vehicular communications[C]//IEEE Conference on Computer Communications. Phoenix, 2008: 1229-1237. [本文引用:5]
[12]	MISRA S, VERMA M, XUE G. PACP: An efficient pseudonymous authentication-based conditional privacy protocol for VANETs[J]. IEEE Transactions on Intelligent Transportation Systems, 2011, 12(3): 736-746. [本文引用:4]
[13]	ABBOUD K, OMAR H, ZHUANG W. Interworking of DSRC and cellular network technologies for V2X communications: a survey[J]. IEEE Vehicular Technology Society, 2016, 65(12): 9457-9470. [本文引用:1]
[14]	MING Y, SHEN X. PCPA: A practical certificateless conditional privacy preserving authentication scheme for vehicular Ad Hoc networks[J]. Sensors, 2018, 18(5): 1-23. [本文引用:1]
[15]	BONEH D, LYNN B, SHACHAM H. Short signatures from the Weil pairing[C]//International Conference on The Theory and Application of Cryptology and Information Security . Berlin, 2001: 514-532. [本文引用:2]

2014

0.0

... 此外,车辆还可以与路侧单元(Road Side Unit, RSU)通信,这被称为车辆-RSU(Vehicle to Infrastructure/RSU, V2I/V2R)通信^[1] ...

2016

0.0

... 因此,防止用户通信过程中的隐私泄露,对用户的隐私进行保护成为车联网系统中安全通信的最基本需求^[2],而进行隐私保护的基本方法之一是匿名认证^[3] ...

2016

0.0

2007

0.0

... 近年来,国内外学者针对车联网的条件匿名认证提出了不少解决方案,如基于公钥基础设施(Public Key Infrastructure, PKI)机制认证方案^[4,5],TA需要给每个车辆颁发多个匿名证书,该证书中不包括与车辆真实身份有关的任何消息 ...

2009

0.0

2008

0.0

... 文献[6]提出了一种不需要TA颁布匿名证书的基于身份的公钥密码机制 ...

2010

0.0

... 但攻击者利用旁路攻击,就有可能从TPD中得到大量消息,从而导致系统中用户通信的不安全^[7] ...

2017

0.0

... 文献[8,9]在之前方案的基础上分别提出了EAAP(Efficient Anonymous Authentication With Conditional Privacy-Preserving Scheme)和CPAV(Computationally Efficient Privacy Preserving Anony-mous Mutual and Batch Authentication Schemes)两种方案,该方案声称车辆既不需要将系统主密钥提前存储在TPD中,也不需要TA颁发匿名证书 ...

2018

0.0

2015

0.0

... 还有一些方案为了避免TA分发和管理证书,通过采用群签名机制^[10],签名的验证只需要群公钥验证即可,且只有群管理员才可以打开一个签名,找出对某一消息签名的群成员,但是这类方案存在签名长度大,时间长等不足,而且车辆快速移动使得难以对群成员进行有效的动态管理 ...

2008

0.0

... 文献[11]提出了一种层次式证书分发机制,方案的主要思路是车辆从途经的RSU获得有效期很短的临时匿名证书,因而不存在证书撤销等复杂的证书管理问题 ...

... 与文献[11]和[12]相比,本文方案的主要优点是车辆不需要从TA获得任何形式的匿名证书,并且能够抵抗RSU的关联追踪,更好保护车辆隐私 ...

... 针对车辆广播消息时的消息签名和验证计算开销,表1给出了本文方案与已文献[11,12]的比较 ...

... 其中文献[12]采用的是BLS^[15]签名,文献[11]采用的是设计的签名算法,本文方案采用的是ECDSA签名,实验中本文方案取向量 A,B的长度为3(即 n=3),计算总开销=消息签名开销+消息验证开销 ...

... 在文献[11]中,用的是ECDSA签名算法,签名为40 bytes,ID所占空间为2 bytes,原始消息为100 bytes,证书为121 bytes,假名为26 bytes ...

2011

0.0

... 文献[12]提出了一种基于条件隐私协议的假名认证方案,方案中车辆首先从可信中心(Motor Vehicle Division, MVD)处获得一个固定票据(ticket),车辆通过发送该ticket向RSU认证自己的合法身份,并从RSU得到一个令牌(token),利用该token车辆生成多个假名用于广播消息 ...

... 针对车辆广播消息时的消息签名和验证计算开销,表1给出了本文方案与已文献[11,12]的比较 ...

... 在文献[12]中,采用的是BLS^[15]签名算法,签名为20 bytes,ID所占空间为1 bytes,原始消息为100 bytes,证书为121 bytes,假名80 bytes ...

2016

0.0

... RSU通常由沿道路建立的固定设施组成,是一个半可信机构,通过有线连接与TA通信,通过专用短程通信协议(Dedicated Short Range Communication, DSRC)^[13],与安装在车上的OBU通信 ...

2018

0.0

... 1 计算开销分析本文选用的有限域为$F_p$ 的椭圆曲线 E:y2=x3+x(modp)^[14],其中 p为512 bit的素数 ...

2001

0.0

... 在文献[12]中,采用的是BLS^[15]签名算法,签名为20 bytes,ID所占空间为1 bytes,原始消息为100 bytes,证书为121 bytes,假名80 bytes ...