基于协作模式的匿名消息认证协议

2019-12-23 07:07米洪，郑莹

中国电子科学研究院学报 2019年7期

米洪，郑莹

(南京交通职业技术学院 ,江苏南京 211188)

0 引言

作为移动自组织网络(Mobile Ad hoc Network, MANET)的特例，车联网(Vehicular Ad Hoc Networks, VANETs)已受到商业和学术的广泛关注。VANETs主要由车载单元(On-Board Units, OBUs)、路边设施单元(Road Side Units, RSUs)和信任实体(Trusted Authority, TA)构成。其中，OBUs安装于每辆车上，而RSUs部署于道路旁。依据专用短距离通信(Dedicated Short-Range Communication, DSRC)[1], 每辆车以100 ms～300 ms为周期，周期地向邻近车辆和RSUs广播beacon消息[2]，进而分享道路流量、速度等信息。

然而，VANETs是基于开放式的无线网络。这些特点容易让恶意车辆发起安全攻击，包括恶意数据入侵攻击、数据转发攻击和位置攻击。为了防御这些攻击，维持VANETs安全，研究人员提出了许多密码方案，其中隐私-保护消息认证方案受到广泛关注[3-6]。

文献[3-4]利用基于别名的认证方案实现车辆匿名。然而，这些方案的撤销列表(Revocation List, RL)过大，导致在分发RL阶段消耗了大量时间。依据文献[5]的研究分析，如果撤销100个OBUs，每个OBU有25000个别名，则一个RL包含百万个别名。管理RL所产生的时延也影响VANETs的性能。

在文献[6]中，每辆车使用自己的伪身份。该伪身份是由TA产生的，具有唯一性。然而，单一的伪身份并不能防止车辆被追踪。尽管群签名协议[7]能够减少RL的尺寸，但是由于群签名具有高的签名验证和撤销成本，这些协议并不适合VANETs。

双线性对操作常用于群签名的验证和撤销，但其也导致长的认证时延。为了最小化认证和撤销管理的开销，文献[8]和文献[9]提出基于信任设备的认证协议。然而，在每辆上注册信任设备也限制了VANETs的部署。

为了能在无信任设备条件下，实现有效地匿名消息认证，文献[10]提出基于RSU-协助的认证协议。这些协议利用RSUs的计算能力，实施对消息的认证。此外，文献[11-13]提出协作认证协议。这些协议通过分享邻近车辆的认证消息，有效地管理消息。然而，这些协议要求所有区域部署RSUs。此外，文献[11]采用了大量别名，存在RL尺寸过大问题。

在文献[10]和文献[12]中，每个RSU扮成一个群管理者，向每辆车分发群-成员密钥。RSU通过此密钥能实现对车辆的追踪。并且文献[12]和文献[13]并不能有效地验证所有消息。原因在于：协作与非协作模式间的同步问题。此外，文献[12]和文献[13]提出的协作认证模式只是在高密度车辆场景下才能有效地认证所有消息。在车辆稀疏的环境，该协议并不能有效地认证消息。

为此，本文提出可靠的协作认证协议AA-CM。AA-CM协议首先利用基于带密钥散列链(Keyed Hash Chain，KHC)的双别名机制。通过该机制控制RL尺寸和管理RL成本。并引用安全的群密钥分布协议。同时，AA-CM协议引用了基础的协作认证算法，并不存在协作与非协作模式间的认证同步问题。

1 网络模型

1.1 系统模型

考虑如图1所示的系统模型。整个系统由TA、RSUs和车辆组成。假定这三个实体(TA、RSUs和车辆)通过基于GPS的时间同步算法实现同步。TA通过有线的安全通信—传输层安全协议(Transport Layer Security, TLS)连通RSU。而车间通信(V2V)和车与RSU间通信(V2R)采用DSRC标准。

图1 系统模型

作为权威的实体，TA负责产生、管理RSUs的证书。此外，TA也给车辆产生大量的别名和相应的密钥。同时，TA负责管理公共参数。

相比于TA，RSU属半信任结构，其受TA监管[14]。每辆上均安装了OBU。车辆通过OBU周期地广播beacon消息。每个OBU预下载别名和相应的私钥。

1.2 攻击模型

本文考虑多项-时间攻击。RSUs和车辆均能发起攻击。它们通过篡改、插入、删除数据等方式发起攻击。假定系统内的多数RSUs和车辆是善良的。只有少数的RSUs和车辆是恶意的。此外，TA能够检测恶意车辆。

2 AA-CM协议

整个协议由初始阶段、注册阶段、管理RLs阶段、产生-分布并更新群密钥阶段以及V2V间的消息认证阶段组成。

2.1 初始阶段

2.1.1TA设定参数

在此阶段，TA初始化自己密钥和公共参数。同时所有RSUs产生自己私钥和相应的公钥。令F表示有限域。C表示在F域上椭圆曲线域。而P表示在C上阶数为p的一个素数。

首先，TA随机产生一个密钥x∈R，并计算它的公钥Ppub=xP。然后，产生追踪密钥tk，用于产生伪身份。

TA再选择加密散列函数，如式(1)所示：

(1)

此外，TA将时间划分了多个时间窗口。令TWj表示第j个窗口。每个窗口时长为ΔLtω。每个窗口又划分为Nts个时隙TS，且每个时隙长ΔLts=ΔLtω/Nts。每辆车在一个时隙内仅使用一个伪身份。时隙TSj,k表示在第TWj个窗口内的第k个时隙。而ΔLtω和Nts这两个参数用于位置隐私。由于一个伪身份的有效时间减少，ΔLtω越短、Nts越大，保护位置隐私的性能越好。

最后，TA给车辆设定伪身份数Npid。车辆在第Npid个窗口使用这些伪身份。

2.1.2RSU设定参数

所有RSUs先产生签名、验证密钥对(SKRSUi,VKRSUi)。这个密钥对用于数字签名。然后，RSUs从TA接收公共参数，再获取证书CertRSUi。CertRSUi包含了IDRSUi和VKRSUi，其中IDRSUi表示第i个RSU的真实身份。

当TA和RSUs设定参数后，TA就设定公共参数：

{H1(),H2(),H3,key(),H4,key(),h(),

Ppub,ΔLtw,Nts,F,C,P,p}

(2)

2.2 注册阶段

(3)

(4)

其中1≤j≤Npid、1≤k≤NTS。

然后，TA就产生两个伪身份(双别名)：一个别名用于时间窗口；另一个别名用于时隙：

(5)

(6)

其中“||”表示连结操作。⊕表示异或操作。

(7)

图2 双别名的产生

2.3 RL的管理

当新的一辆车在第TWj个时间窗口被撤销，TA就将RVi,j-δ、RVi,j和RVVi加入到RL中。然后，TA在第TWj个时间窗口向所有RSUs广播RL。当收到最新的RL，RSU就在TWj+1个时间窗口，利用RVVi和H3,key()将RVi,j更新成RVi,j+1。而RVi,j-δ用于群密钥更新。

2.4 产生-分布并更新群密钥阶段

TA先产生群密钥GK，然后再通过安全信道周期地传输至所有RSU。群密钥GK的有效期由系统参数控制。

本方法建立了一种适用于中国西北降水量少的地区降尘总量采集与测试方法，克服了液体样品少的问题，把液体样品和固体样品集中处理成固体样品一次性测试，减少了测试的成本与误差。方法对采样的具体要求进行了讨论，对方法的准确度、精密度、加标情况进行了验证，得到了满意的结果。

RSU(假定RSUi)就随机产生参数t∈Zp，并计算T=tP。同时利用RSUi的公钥对(T||IDRSUi)进行签名，即SigsKRSUi(T||IDRSUi)。其中SigsK(·)表示利用密钥K进行的公钥签名。然后，RSUi就向它覆盖的区域内广播IDRSUi、TimeRSUi、T、SigsKRSUi(T||IDRSUi||TimeRSUi)和CertRSUi。

当车辆Vi进入RSUi的覆盖范围，车辆Vi就能在窗口TWj接收此消息，并从中提取IDRSUi。并判断此IDRSUi是否为最新身份。如果IDRSUi是新的，则车辆Vi就验证CertRSUi和SigsKRSUi(T||IDRSUi)。

(8)

(9)

(10)

2.5 V2V间消息认证

AA-CM系统采用协作消息认证策略，其引用了签名算法[15]和消息认证编码(Message Authentication Code, MAC)算法。

2.5.1产生消息

一旦生成了Mi、R、e和π，车辆Vi就通过GK计算消息认证编码：

(11)

最后，车辆Vi就邻居车辆广播消息MESVi→Vj：

(12)

2.5.2消息认证

AA-CM协议采用协作认证机制。每辆车共享消息认证的结果。

当车辆Vi广播了beacon消息Mi, 邻近Vi的车辆就验证消息的签名：

(13)

(14)

车辆验证结束后，所有车辆就广播自己的验证报告，其包括自己对车辆Vi所广播消息Mi的验证结果。假定在时隙TSj,k，车辆Vi产生报告Report_Vi。然后，车辆Vi再产生随机数r′∈Zp，并形成签名值：

(15)

π=r′-esi,j,k

(16)

同时，广播MAC值：

(17)

3 性能分析

3.1 安全性能分析

3.1.1消息完整性

如果一个攻击者伪造了签名，攻击者必须从π中获取si,j,k。这就意味着：攻击者须从R中计算r，进而才能得到si,j,k。然而，这个过程需解决到椭圆曲线离散对数问题(Elliptic Curve Discrete Logarithm Problem , ECDLP)。但解决ECDLP问题是非常复杂。因此，AA-CM协议能够维护消息的完整性。

3.1.2条件隐私保护

(1)匿名和不可链接性