刘雪峰 张玉清 王 鹤 张光华



一种后向撤销隐私安全的车载自组织网络快速匿名消息认证协议

刘雪峰 张玉清*王 鹤 张光华

(西安电子科技大学综合业务网理论及关键技术国家重点实验室 西安 710071)

该文提出适用于车载自组织网络的快速匿名消息认证协议。通过使用基于身份的签密技术，车辆行驶至某区域后，与该区域中心相互认证，获取其所维护的周期性群签名系统密钥材料。之后，该车辆能够使用获取的密钥材料对向网络中广播的携带有群签名的消息，实现消息的匿名认证。网络中的车辆收到其它车辆广播消息之后，仅需验证群签名的合法性，避免验证消息的签发者是否是撤销用户。此外，所采用的群签名算法支持批验证运算，能够快速处理短期内收到的多个消息。除了避免撤销验证特性之外，与已有的文献相比，文中的方案能够完善地保护撤销用户的后向隐私安全性。

密码学；车辆网络；认证；匿名性；后向撤销隐私安全

1 引言

车载自组织网络能够提供有效的道路交通信息，为车辆驾驶员提供更为安全的驾驶环境以及便捷的多种网络服务[1,2]。典型的车辆自组织网络是由路边单元与车辆共同构成的，其中路边单元通过有线相互连接方式构成骨干网。车载自组织网络主要包括两种通信方式[3]：(1)车辆与路边单元的通信；(2)车辆与车辆之间的通信。网络中的车辆通过其装载的通信设备，向网络中发出其感知的信息(如位置、速度、紧急事宜等)，为道路上的驾驶员提供及时、准确的路况信息，以提高整个道路行驶的安全性。然而，在车辆自组织网络部署之前，急需解决以下安全问题。

(1)消息认证性：车辆在收到网络中消息时，要能够验证该消息的发送者是否是合法用户，以避免攻击者向网络中注入虚假、恶意的信息；(2)不可否认性：车辆在向网络中广播消息之后，不能对该消息否认；(3)车辆匿名性：侦听者以及网络中的车辆不能通过检测到的广播消息，来识别发送者其真实身份，否则车辆网络对用户便失去吸引力[4,5]；(4)可追踪性：在出现有争议或纠纷广播信息时，网络的管理者能够有效地识别出消息的发出者真实身份；(5)撤销车辆后向隐私安全性：车辆被撤销之后，全局侦听者不能根据其侦听的全网历史信息确定出该撤销用户的签发消息，进而保护该撤销用户的历史移动轨迹隐私；(6)高效撤销验证性：在验证收到的信息时，车辆能够确定出该消息的发送者是否是已撤销用户。在实际应用中，车辆网络的规模通常是比较大的，如截止2011年2月，我国现有机动车辆已达2.11亿辆[6]。如何迅速验证消息签名者是否是已撤销用户，依然是个棘手的问题。

针对上述问题，本文提出一种适用于车载自组织网络的快速匿名消息认证方案。文中的方案仅需区域中心与车辆进行一次有效以及撤销性验证。之后，网络中的车辆在收到其它车辆发出的广播信息时，仅验证消息附带的签名是否正确，无需再验证签名者是否已被撤销。另外，文中的方案能够保护撤销用户的后向隐私安全，并且支持车辆对短期内收到的多个消息进行批验证操作以提高验证效率。

2 协议设计

2.1 系统模型

图1所示为常用的车载网络通信模型，主要有授权中心、区域中心、路边单元以及车辆4个部分构成。下面分别阐述它们的主要功能。

图1 系统模型

(1)授权中心(trust authority)：是由完全可信的第三方担当该角色，如政府交通管理部门。其主要任务是给区域中心与车辆分发签密密钥[16]。

(2)区域中心(region center)：也被认为是完全可信的。区域中心维护群签名密码系统，其该系统密钥材料周期性地更新，如每天更新一次。主要职责是，与驶入其区域的车辆相互认证，并对合法且未撤销的车辆颁发群签名密钥材料[17]。

(3)路边单元 (roadside unit)：是车辆网络通信的主要基础实施，通过有线网络与其它路边单元以及区域中心实现网络互连。主要功能是，作为骨干网参与网络信息通信。

(4)车辆(vehicular)：主要向网络中广播周边的路况信息，为附近用户提供更好的驾驶环境以及对异常事情(如交通事故)做提早预判。

2.2 方案总体设计

车载网络中的消息快速认证，关键在于用户撤销验证的有效性。具体来说，网络中的车辆在收到其他用户发出的信息之后，首先验证消息的真伪性，即通过签名算法来验证消息以及其携带签名的正确性。之后，用户在排除签名者是已撤销用户后才能认定消息的合法性。

为了克服车辆每收到一个消息均进行撤销验证，本文提出的方案只需路边单元验证一次车辆的撤销性，网络中的车辆在收到其它用户广播信息之后，仅验证消息的携带签名是否正确，无需再验证签名者是否已撤销。方案的主要思想可以概括为以下3点：(1)区域中心维护群签名密码系统，该密码系统周期性地更新，如每天更新一次；(2)车辆进入某区域之后，与区域管理中心相互认证。在验证车辆的有效以及未被撤销之后，该中心为用户分发群签名私钥；(3)撤销用户无法通过与路边单元的认证，因而无法获取群签名密钥。车辆在收到其他用户的广播消息之后，直接验证群签名的有效性，而无需再对签名者进行撤销验证。

2.3 安全模型

定义4 自适应消息攻击下不可伪造性(ef-cma)

3 方案描述

3.1 初始化

在车载网络部署之前，授权中心完成整个协议的初始化，包括生成系统参数、为区域中心以及车辆分配密钥，具体包括以下3点。

3.1.2区域群签名系统初始化 群签名密钥系统[17,18]的初始化是由区域中心执行，具体分为以下两个步骤：

3.2 车辆与区域中心认证

3.3 车辆广播消息认证

表1广播消息格式

消息标示符消息负载时戳群签名 m

3.4 追踪性

4 安全性证明

通过定理1，定理2以及定理3，可以看出文中所设计的方案能够实现具有匿名保护的相互身份认证，消息认证性以匿名性。群签名密码系统是周期性更新，只有合法车辆才能获得最新的签名密钥，因而避免了撤销验证并且实现后向撤销安全。

5 性能分析

5.1 车辆与区域中心认证开销

5.2 车辆广播消息开销

6 结论

本文结合基于身份签密技术与群签名方案，提出一种适用于车辆网络的高效消息认证方案。相对于历史文献来说，该方案能够支持后向撤销隐私安全，避免车辆在撤销之后，其历史路径信息被恢复出来，有效地保护了车辆用户的位置隐私。此外，用户在验证其它车辆广播消息时，不再需要对签名者进行撤销验证，即用户在验证网络中的广播消息的计算开销是常量，与撤销车辆的数目无关。最后，本文的方案能够支持同时验证多个广播消息的合法性，与逐个签名验证相比，极大程度地降低了计算开销。

图2 验证开销与撤销车辆个数关系图

图3 验证开销与消息个数关系图

[1] Chen M, Chen J, and Chang T. Android/OSGi-based vehicular network management system[J]., 2011, 34(2): 169-183.

[2] Lu R, Lin X, Liang X,.. A dynamic privacy-preserving key management scheme for location based services in VANETs[J]., 2012, 13(1): 127-139.

[3] Zhang W, Chen Y, Yang Y,.. Multi-hop connectivity probability in infrastructure-based vehicular networks[J]., 2012, 30(4): 740-747.

[4] Liu X, Zhang Y, Wang B,.. Mona: secure multi-owner data sharing for dynamic groups in the Cloud[J]., 2013, 24(6): 1182-1191.

[5] Liu X and Zhang Y. A privacy-preserving acceleration authentication protocol for mobile pay-TV systems[J]., 2013, 6(3): 361-372.

[6] 汤一亮. 截至2月底: 我机动车保有量达2.11亿辆[OL]. http:// news.xinhuanet.com/auto/2011-03/18/c_121201772. htm, 2011. 03. 18.

[7] Raya M and Hubaux J. Securing vehicular ad hoc networks[J]., 2007, 15(1): 39-68.

[8] Haas J, Hu Y, and Laberteaux K. Design and analysis of a lightweight certificate revocation mechanism for VANET[C]. Proceedings of 6th ACM international workshop on VehiculAr InterNETworking,New York, 2009: 89-98.

[9] Wasef A, Jiang Y, and Shen X. DCS: an efficient distributed certificate service scheme for vehicular networks[J]., 2010, 59(2): 533-549.

[10] Lu R, Lin X, Zhu H,.. ECPP: efficient conditional privacy preservation protocol for secure vehicular communications[C].Proceedings of 27th Conference on Computer Communications, Arizona, 2008: 1229-1237.

[11] Sun Y, Lu R, Lin X,.. An efficient pseudonymous authentication scheme with strong privacy preservation for vehicular communications[J]., 2010, 59(7): 3589-3603.

[12] Wasef A and Shen X. EMAP: Expedite message authentication protocol for vehicular ad hoc networks[J]., 2013, 12(1): 78-89.

[13] Lin X, Sun X, Ho P,.. GSIS: a secure and privacy- preserving protocol for vehicular communications[J]., 2007, 56(6): 3442-3456.

[14] Sun J, Zhang C, Zhang Y,.. An identity-based security system for user privacy in vehicular Ad hoc networks[J]., 2010, 21(9): 1227-1239.

[15] Xiong H, Beznosov K, Qin Z,.. Efficient and spontaneous privacy-preserving protocol for secure vehicular communication[C]. Proceedings of International Conference on Communications, Cape Town, 2010: 1-6.

[16] Barreto P, Libert B, McCullagh N,.. Efficient and provably-secure identity-based signatures and signcryption from bilinear maps[C]. Proceedings of the 24th Annual International Cryptology Conference on Advances in Cryptology, Chennai, 2005: 515-532.

[17] Ferrara A, Green M, and Hohenberger S. Practical short signature batch verification[C]. Proceedings of the 9th Cryptographers' Track at the RSA Conference 2009 on Topics in Cryptology,San Francisco, 2009: 309-324.

[18] Boneh D, Boyen X, and Shacham H. Short Group Signatures[C]. Proceedings of the 23th Annual International Cryptology Conference on Advances in Cryptology, Santa Barbara, 2004: 41-55.

[19] Lynn B. The pairing-based cryptography library[OL]. http:// crypto.stanford.edu/pbc/, 2013. 05.

刘雪峰： 男，1985年生，博士生，研究方向为应用密码学、车辆网络安全、云计算安全、无线网络安全等.

张玉清： 男，1966年生，博士生导师，研究方向为漏洞挖掘、应用密码学、量子密码理论.

王 鹤： 女，1987年生，博士生，研究方向为应用密码学、量子密码理论.

An Efficient Anonymity Message Authentication with Backward Secure Revocation for Vehicular Ad Hoc Networks

Liu Xue-feng Zhang Yu-qing Wang He Zhang Guang-hua

(,,710071,)

This paper presents an efficient anonymous message authentication scheme for vehicular ad hoc networks. By using identity-based sign-encryption technique, a vehicular user can first authenticate with a region center to obtain a group signature key material, where the group is managed by the region center. Then, the user can employ the key material to sign a message and broadcast it into the network. Other vehicular users can directly check the signature without revocation verification. In addition, the used group signature supports batch verification, which significantly reduces the verification overhead. Compared with the existing schemes, the proposed scheme can achieve backward secure revocation.

Cryptography; Vehicular networks; Message authentication; Privacy-preserving; Backward secure revocation

TP309.2

A

1009-5896(2014)01-0094-07

10.3724/SP.J.1146.2013.00342

2013-03-15收到，2013-07-27改回

国家自然科学基金(61272481)资助课题

张玉清 zhangyq@ucas.ac.cn