面向車聯(lián)網(wǎng)的匿名組密鑰分發(fā)方案

何智旺，王化群

面向車聯(lián)網(wǎng)的匿名組密鑰分發(fā)方案

何智旺，王化群

（南京郵電大學計算機學院，江蘇 南京 210023）

車載自組織網(wǎng)絡（VANET，vehicular ad hoc network）作為智能交通系統(tǒng)的重要組成部分，可在車輛行駛時提供駕駛信息等服務，如防止碰撞、提高交通效率等。在可信第三方（TTP，trusted third party ）和車輛進行交互時，難免會受到竊聽、篡改和偽造等安全威脅。現(xiàn)有的方案多是在TTP和車輛間進行密鑰協(xié)商來創(chuàng)建會話密鑰以保證會話的安全。但系統(tǒng)過度依賴TTP可能會受到單點故障的影響，以及面臨TTP向多個車輛發(fā)送相同信息時產(chǎn)生的信息冗余問題。同時，創(chuàng)建組會話密鑰所使用的密鑰協(xié)商方式相較于分發(fā)方式會產(chǎn)生更多的交互數(shù)據(jù)和交互次數(shù)。提出面向車聯(lián)網(wǎng)的匿名組密鑰分發(fā)方案，方案借助路側單元（RSU，road side unit）來組織多個車輛創(chuàng)建組會話密鑰，使用基于身份的公鑰密碼和改進的多接收者加密方案實現(xiàn)RSU和車輛間的雙向認證與組會話密鑰的分發(fā)。在密鑰分發(fā)的過程中，只需要一次加密操作便可讓所有組內成員獲得一致的會話密鑰。憑此可減少系統(tǒng)實體在認證和組通信時對TTP的過度依賴。通過形式化的安全性證明表明，所提方案滿足基本的安全要求。同時，經(jīng)過性能分析和對比，所提方案的計算開銷和通信開銷比同類方案更有優(yōu)勢。

車聯(lián)網(wǎng)；認證；組會話密鑰

0 引言

近年來，無人駕駛的安全問題頻發(fā)，如特斯拉輔助駕駛追尾事故。而智能交通系統(tǒng)引入VANET后，可為駕駛人員提供更安全的服務[1]，如緊急車輛警告、交通違規(guī)警告和路況警告等。VANET主要包括3種實體[2]：TTP、RSU和車輛，通過將以上實體有機結合可顯著提高交通效率、降低事故風險。無線通信短距離和車輛高移動性的特點，使得VANET易受到各種外部和內部攻擊。故車輛隱私保護、身份認證和組會話密鑰3個方面需要著重關注和研究。

針對車輛隱私保護，重點關注車輛身份的保護和消息的機密性。VANET中信息的交互基于露天無線電，因此，攻擊者可通過軌跡追蹤推斷車輛的身份等敏感信息，并發(fā)動攻擊（如虛假信息攻擊），造成事故和傷害。故在信息傳播的過程中，車輛的隱私保護十分必要。對于真實身份的保護，一般采用基于公鑰基礎設施的假名方案或基于數(shù)字簽名的匿名消息認證協(xié)議。此外，車輛間也會進行行駛信息的交互，如車輛出現(xiàn)故障廣播車輛信息（位置、方向等）。所以車輛間傳遞敏感信息時要保證信息的機密性，避免被惡意攻擊者捕捉并利用。

設計VANET時，要考慮車輛的身份認證問題。在通信前，既要保護通信對方的真實身份，也要確保消息來源的真實可靠。在身份認證方面已有大量的研究工作，大致有3類[3]：基于證書的密碼系統(tǒng)、基于身份的密碼系統(tǒng)和基于無證書的密碼系統(tǒng)。在基于證書的密碼系統(tǒng)中，需要借助證書來管理車輛的公鑰；在基于身份的密碼系統(tǒng)中，公鑰采用用戶的個人身份信息（如郵箱等），無須證書來證明公鑰的真實性；基于無證書的密碼系統(tǒng)中，公私鑰是半可信第三方和用戶共同生成的。3種方案各有利弊?？紤]到VANET受限于通信時間和距離，本文方案選擇基于身份的密碼系統(tǒng)來實現(xiàn)RSU和車輛間的相互認證。原因在于基于證書的密碼系統(tǒng)需要大量的證書來認證車輛；基于無證書的密碼系統(tǒng)需要多次交互才能生成車輛的公私鑰，且存儲復雜的公私鑰對于資源受限的車輛而言，是不安全和低效的。此外，本文方案中通過聚合簽名實現(xiàn)車輛身份的批量驗證，提高認證的效率[4]。

當TTP向多個車輛發(fā)送大量重復信息時，會引起系統(tǒng)的信息冗余問題，且TTP存在單點故障隱患。此時，系統(tǒng)可為合法車輛分發(fā)組密鑰，僅需使用組密鑰加密一次要傳輸?shù)男畔?。在VANET中，設計一種高效的組密鑰協(xié)商協(xié)議是組通信的一個難題[1]。組密鑰管理方案可分為兩類：中心節(jié)點為其他成員分配一個通信密鑰；每個組成員提供部分密鑰，然后構成一個組密鑰。雖然使用非對稱加密技術也可滿足此要求，但并不適用于資源受限的車聯(lián)網(wǎng)。為降低計算成本和提高通信效率，協(xié)議需使用效率更高的對稱加密。為進一步提高通信效率[5]，可使用組密鑰分發(fā)的機制為一組車輛提供一個臨時的組密鑰來交互信息。

1 相關工作

身份驗證是在授權實體訪問網(wǎng)絡前對其身份進行驗證的過程，該機制確保只有有效的車輛方可加入VANET以保證通信的安全，且惡意的車輛可被識別。對于身份的驗證可通過簽名來實現(xiàn)，進而，多實體的身份驗證可利用聚合簽名來批量處理。基于公鑰密碼體制的聚合簽名的研究主要有3種。①Boneh等[6]在2003年設計了第一個以公鑰基礎設施（PKI，public key infrastructure）為基礎的聚合簽名方案，將來自個不同簽名者的多個簽名組合成一個短簽名。此后，出現(xiàn)了基于PKI的聚合代理簽名方案[7]、同步聚合簽名方案[8]和順序聚合簽名方案[9]。②基于身份的聚合簽名（ID-AS，identity-based aggregate signature）方案相較于無證書簽名方案，其計算效率、成本和安全性更高。2004年，Cheon等[10]提出了第一個基于身份的聚合簽名方案，解決了基于PKI的聚合簽名方案中計算證書所帶來的開銷問題。之后，Shen等[11]在CDH（computational Diffie-Hellman）假設下提出一種安全高效的ID-AS方案；Iwasaki等[12]提出基于身份結構化聚合簽名方案，將結構化簽名擴展到基于身份的簽名中；Yang等[13]提出的ID-AS方案利用偽身份和云存儲技術降低車載網(wǎng)的存儲開銷和提高認證效率。③為了解決ID-AS方案中的密鑰托管問題，Castro等[14]提出無證書聚合簽名（CL-AS，certificateless aggregate signature）方案，Xiong等[15]提出具有恒定配對計算開銷的CL-AS方案，Hashimoto等[16]在2019年提出第一個具有固定大小的緊湊CL-AS方案。

組密鑰管理技術的研究有如下幾類：非加密方案、公鑰加密方案、對稱加密和單向加密哈希函數(shù)方案、廣播加密（ConBE）方案和多項式方案等。在加密方面的密鑰管理研究中，公鑰加密方案大致分為3類[17]：基于證書的公鑰加密方案、基于身份的公鑰加密方案和無證書公鑰加密方案。例如，Kumar等[18]闡述的基于RSA公鑰密碼的集中式組密鑰分發(fā)協(xié)議，雖然降低了密鑰服務器的計算成本和存儲復雜度，但證書管理開銷和資源受限設備對RSA的復雜計算不能高效處理。輕量級認證協(xié)議近年來廣受關注，此類型的認證協(xié)議有3個主要特點：采用基于密碼的雙因素或三因素認證方法，使用輕量級加密原語（如對稱加密、加密哈希函數(shù)和按位異或操作），云輔助。例如，Srinivas等[19]利用中國剩余定理和單向哈希函數(shù)設計的基于云的遠程用戶認證方案，有效實現(xiàn)了遠程用戶與傳感器節(jié)點間的相互認證和密鑰管理。廣播加密[20]允許發(fā)送方不受組成員限制地選擇任意成員子集作為接收方。例如，Zhong等[21]將廣播加密用于VANET進行密鑰分發(fā)，所提出的基于身份的廣播加密方案解決了相同信息在多個車輛間發(fā)送的冗余問題，僅需一次加密便可為一組車輛生成定長的密文?；诙囗検降拿荑€管理方案主要分為集中式和分布式兩類。集中式密鑰管理由一中心節(jié)點負責生成、分發(fā)和更新系統(tǒng)中各節(jié)點使用的會話密鑰。例如，Gao等在文獻[22]中提出基于橢圓曲線的匿名多播方案，通過多項式分發(fā)組密鑰來獲取更高的效率。為解決實體間信任缺乏的問題，引入?yún)^(qū)塊鏈技術，使得密鑰管理技術的研究趨向于去中心化，即無須中心節(jié)點獨立管理密鑰，而由所有成員共同管理密鑰。例如，文獻[23]通過引入?yún)^(qū)塊鏈分布式地解決了工業(yè)互聯(lián)網(wǎng)中密鑰的動態(tài)管理問題。本文方案借鑒Wang等[24]提出的基于身份的多接收者加密方案，提出一種組會話密鑰分發(fā)方案，在密文長度比較短的情況下，滿足了車聯(lián)網(wǎng)的安全要求以及有效控制了發(fā)送方的加密成本。

2 預備知識、系統(tǒng)模型和安全模型

2.1 預備知識

（1）計算bilinear Diffie-Hellman（BDH）

（2）決策BDH

2.2 系統(tǒng)模型

圖1 系統(tǒng)模型

Figure 1 System model

1) TTP負責系統(tǒng)建立以及系統(tǒng)成員的注冊和密鑰的生成，且對可疑車輛執(zhí)行事后追查。

2) RSU部署在道路周圍，由TTP為其生成身份的簽名，車輛通過簽名驗證RSU身份的合法性。誠信的RSU與車輛間利用專用短程通信協(xié)議進行通信，由其動態(tài)聚合驗證車輛的請求信息。同時，RSU負責消息的轉播。

3) 車輛在TTP處注冊，獲得車輛臨時身份和私鑰等信息，并使用這些信息向RSU發(fā)起認證請求。車輛通過RSU分發(fā)的組會話密鑰獲取系統(tǒng)提供的服務，以及定期告知群組內其他車輛有關車輛的交通狀態(tài)信息，如速度、方向等。

2.3 安全模型

基于身份的匿名多接收者加密（ID-MRE，identity-based anonymous multi-receiver encryption）方案存在3個不同的實體：TTP、RSU和車輛。在闡述具體的安全模型前，對于匿名ID-MRE方案的嚴格定義如下。

定義1 （ID-MRE的匿名性）：一個ID-MRE方案包含4個多項式時間算法：Setup、Extract、Encrypt和Decrypt。

敵手自適應地進行上述的3種查詢，每一次查詢可以是基于上一次的查詢結果。

3 本文方案

3.1 系統(tǒng)初始化

系統(tǒng)初始化過程如下，具體的參數(shù)說明如表1所示。

表1 參數(shù)說明

3.2 車輛與RSU相互認證并建立組會話密鑰

（1）車輛對RSU進行身份驗證。

（2）車輛對身份有效的RSU請求組會話密鑰。

（3）RSU驗證車輛身份，若合法，則分配組密鑰。

（4）若上述等式成立，則RSU為驗證成功的個合法有效的車輛分發(fā)組會話密鑰。

3.3 車輛接收密文并計算出組密鑰

4 安全性分析

4.1 形式化安全性證明

組會話密鑰分發(fā)的實現(xiàn)基于匿名ID-MRE方案，其在DBDH假設下的ANON-sMID-CCA2安全性和IND-sMID-CCA2的安全性證明如下。

（1）第一輪查詢

（2）第二輪查詢

故基于決策BDH問題的難度假設，匿名ID-MRE方案是ANON-sMID-CCA2安全的。

定理2的證明和定理1類似，此處不再過多闡述。

4.2 非形式化安全性證明

除了從以上角度對方案的安全性進行分析外，下面對方案性能做更加詳細的分析。

（1）正確性

若TTP、RSU和車輛均為誠實的，則RSU可成功驗證聚合簽名，根據(jù)車輛簽名的生成，RSU對單個簽名的正確性驗證如下。

RSU對聚合簽名的正確性驗證如下。

對于車輛接收到的多接收者加密密文，其中，雙線性對的正確性證明如下。

（2）雙向認證

在車輛和RSU進行認證的過程中，一方面車輛可通過TTP對RSU身份的簽名進行認證；另一方面，RSU對想要加入群組的成員進行聚合簽名驗證，以達到對車輛認證的目的。

（3）匿名性

（4）重放攻擊

（5）抗中間人攻擊

攻擊者在車輛和RSU間實施中間人攻擊時，須使車輛相信其是一個合法的RSU，同時使RSU相信其是一個合法的車輛。根據(jù)雙向認證特性，攻擊者無法偽裝成二者中的任何一個。因此，方案在RSU和車輛間可有效抵抗中間人攻擊。

5 性能分析

假定接收組會話密鑰的組成員有個，針對各方案的計算開銷和通信開銷分析如下。

5.1 計算開銷分析

表2 運算操作所需的時間

表3列出了3個方案在加解密階段所需要的運行時間，對取平均比較次數(shù)/2。為了更直觀地展示運行時間的對比，圖2展示了隨著組成員數(shù)量的改變，各方案加解密總運行時間的變化情況?？紤]到車輛計算能力遠不如RSU，解密時間越短越符合實際的需求，本文方案在運行時間上比另兩個方案更有優(yōu)勢。

表3 運行時間比較

圖2 總運行時間對比

Figure 2 Total run time comparison

5.2 通信開銷分析

表4 密文長度對比

6 結束語

為了滿足車聯(lián)網(wǎng)中多個車輛共享安全數(shù)據(jù)的實際需求，本文提出一種基于身份的高效組密鑰分發(fā)方案，在一定程度上可緩解TTP冗余問題帶來的影響，也具備一定的分布式特性。同時，本文從形式化和非形式化兩個方面詳細闡述了所提方案的安全性和安全性能。通過計算開銷和通信開銷分析表明，本文方案比同類組密鑰分發(fā)方案和所依照的多接收者加密方案有更高的效率。下一步工作會考慮更廣泛的實際場景，如借助區(qū)塊鏈實現(xiàn)跨域切換認證和更高級的組會話密鑰的建立。

[1] LI X C. Blockchain-based group key agreement protocol for vehicular ad hoc networks[J]. Computer Communications, 2022, 183: 107-120.

[2] CHEN J N, HUANG Z J, ZHOU Y P, et al. Efficient certificate-based aggregate signature scheme for vehicular ad hoc networks[J]. IET Networks, 2020, 9(6): 290-297.

[3] REN Y L, LI X Y, SUNSF, et al. Privacy-preserving batch verification signature scheme based on blockchain for vehicular ad-hoc networks[J]. Journal of Information Security and Applications, 2021, 58: 102698.

[4] YANG X D, LIU R, WANG M D, et al. Identity-based aggregate signature scheme in vehicle ad-hoc network[C]//Proceedings of 2019 4th International Conference on Mechanical, Control and Computer Engineering (ICMCCE).2020: 1046-10463.

[5] MOHANTY S, JENA D, PANIGRAHY S K. A secure RSU-aided aggregation and batch-verification scheme for vehicular networks[C]//International Conference on Soft Computing and Its Applications (ICSCA’2012). 2012: 174-178.

[6] BONEH D,GENTRY C, LYNN B, et al. Aggregate and verifiably encrypted signatures from bilinear maps[M]//Lecture Notes in Computer Science. 2003: 416-432.

[7] LI J, KIM K, ZHANG F G, et al. Aggregate proxy signature and verifiably encrypted proxy signature[C]//Proceedings of the 1st International Conference on Provable Security. 2007: 208-217.

[8] AHN J H, GREEN M, HOHENBERGER S. Synchronized aggregate signatures: new definitions, constructions and applications[C]//Proceedings of the 17th ACM Conference on Computer and Communications Security. 2010: 473-484.

[9] NEVEN G. Efficient sequential aggregate signed data[J]. IEEE Transactions on Information Theory, 2011, 57(3): 1803-1815.

[10] CHEON J H. A new ID-based signature with batch verification[R].Cryptology Eprint Archive Report, 2004.

[11] SHEN L M, MA J F, LIUXM, et al. A secure and efficient ID-based aggregate signature scheme for wireless sensor networks[J]. IEEE Internet of Things Journal, 2017, 4(2): 546-554.

[12] IWASAKI T, YANAI N, INAMURA M, et al. Tightly-secure identity-based structured aggregate signature scheme under the computational Diffie-Hellman assumption[C]//Proceedings of 2016 IEEE 30th International Conference on Advanced Information Networking and Applications (AINA). 2016: 669-676.

[13] YANG X D, LIU R, WANG M D, et al. Identity-based aggregate signature scheme in vehicle ad-hoc network[C]//Proceedings of 2019 4th International Conference on Mechanical, Control and Computer Engineering (ICMCCE). 2020: 1046-10463.

[14] CASTRO R, DAHAB R. Efficient certificate less signatures suitable for aggregation[J]. IACR Cryptol Eprint Arch, 2007, 2007: 454.

[15] XIONG H, GUAN Z, CHEN Z, et al. An efficient certificateless aggregate signature with constant pairing computations[J]. Information Sciences, 2013, 219: 225-235.

[16] HASHIMOTO K,OGATA W. Unrestricted and compact certificate less aggregate signature scheme[J]. Information Sciences, 2019, 487: 97-114.

[17] GUO Y M, ZHANG Z F,GUO Y J. Anonymous authenticated key agreement and group proof protocol for wearable computing[J]. IEEE Transactions on Mobile Computing, 2022, 21(8): 2718-2731.

[18] KUMAR V, KUMAR R, PANDEY S K. A computationally efficient centralized group key distribution protocol for secure multicast communications based upon RSA public key cryptosystem[J]. Journal of King Saud University-Computer and Information Sciences, 2020, 32(9): 1081-1094.

[19] SRINIVAS J, DAS A K, KUMAR N, et al. Cloud centric authentication for wearable healthcare monitoring system[J]. IEEE Transactions on Dependable and Secure Computing, 2020, 17(5): 942-956.

[20] FIAT A, NAOR M. Broadcast encryption[C]//Annual International Cryptology Conference. 1993:480-491.

[21] ZHONG H, ZHANGS, CUIJ, et al. Broadcast encryption scheme for V2I communication in VANETs[J]. IEEE Transactions on Vehicular Technology, 2022, 71(3): 2749-2760.

[22] GAO R H, ZENG J W, DENG L Z. Efficient certificate less anonymous multi-receiver encryption scheme without bilinear parings[J]. Mathematical Problems in Engineering, 2018, 2018: 1-13.

[23] 張澤林, 王化群. 基于區(qū)塊鏈的工業(yè)互聯(lián)網(wǎng)動態(tài)密鑰管理[J]. 計算機研究與發(fā)展, 2023, 60(2): 386-397.

ZHANG Z L, WANG H Q. Dynamic key management of industrial Internet based on blockchain[J]. Journal of Computer Research and Development, 2023, 60(2): 386-397.

[24] WANG H Q. Provably secure anonymous multi-receiver identity-based encryption with shorter ciphertext[C]//Proceedings of 2014 IEEE 12th International Conference on Dependable, Autonomic and Secure Computing.2014: 85-90.

[25] BONEH D, FRANKLIN M. Identity-based encryption from the Weil pairing[M]//Advances in Cryptology — CRYPTO 2001. 2001: 213-229.

[26] MIYAJI A, NAKABAYASHI M, TAKANO S. Characterization of elliptic curve traces under FR-reduction[M]//Lecture Notes in Computer Science. 2001: 90-108.

Anonymous group key distributionscheme for the internet of vehicles

HE Zhiwang, WANG Huaqun

School of Computer Science，Nanjing University of Posts and Telecommunications, Nanjing 210023, China

Vehicular ad hoc networks (VANET) play a crucial role in intelligent transportation systems by providing driving information and services such as collision prevention and improved traffic efficiency. However, when a trusted third party (TTP) interacts with a vehicle in VANET, it can be vulnerable to security threats like eavesdropping, tampering, and forgery. Many existing schemes rely heavily on TTP for key negotiation to establish session keys and ensure session security. However, this over-reliance on TTP can introduce a single point of failure and redundancy issues when TTP sends the same information to multiple vehicles. Additionally, key negotiation methods used for creating group session keys often result in increased interaction data and interaction times. An anonymous group key distribution scheme for the internet of vehicles was proposed to address these challenges. The Road Side Units (RSUs) were used to facilitate the creation of group session keys among multiple vehicles. Identity-based public key cryptography and an improved multi-receiver encryption scheme were utilized for communication between RSUs and vehicles, enabling two-way authentication and secure distribution of group session keys. During the key distribution process, a single encryption operation was sufficient to allow all group members to obtain a consistent session key. This reduced the reliance on TTP for authentication and group communication. Formal security proofs demonstrate that the proposed scheme satisfies basic security requirements. Furthermore, performance analysis and comparisons indicate that this scheme offers lower computational overhead and communication overhead compared to similar schemes.

internet of vehicles, authentication, group session key

The National Natural Science Foundation of China (62272238)

何智旺, 王化群. 面向車聯(lián)網(wǎng)的匿名組密鑰分發(fā)方案[J]. 網(wǎng)絡與信息安全學報, 2023, 9(5): 127-137.

TP309

A

10.11959/j.issn.2096?109x.2023070

何智旺（1997? ），男，安徽宿州人，南京郵電大學研究生，主要研究方向為密碼學與信息安全。

王化群（1974? ），男，江蘇南京人，南京郵電大學教授，主要研究方向為應用密碼學、區(qū)塊鏈、云計算安全。

2022?11?14；

2023?01?09

王化群，whq@njupt.edu.cn

國家自然科學基金（62272238）

HE Z W, WANG H Q. Anonymous group key distribution scheme for the internet of vehicles[J]. Chinese Journal of Network and Information Security, 2023, 9(5): 127-137.