基于属性签名的车载网匿名信任管理方案_肖敏.pdf

资源描述

1、2023 年 4 月 Chinese Journal of Network and Information Security April 2023 第 9 卷第 2 期网络与信息安全学报 Vol.9 No.2 基于属性签名的车载网匿名信任管理方案肖敏1，毛发英1，黄永洪1，曹云飞2,3（1.重庆邮电大学网络空间安全与信息法学院，重庆 400065；2.中国电子科技集团公司第三十研究所，四川成都 610041；3.中国电子科技网络信息安全有限公司，四川成都 610041）摘要：信任管理机制可以用来解决车载网（VANET）中消息的真实性评估和通信实体之间的信任问题。现有的信任管理方案中缺

2、乏有效的隐私保护机制，即在绑定车辆身份与其信誉值的关联时会暴露车辆的隐私。利用基于属性的签名具有的匿名性，提出一种 VANET 匿名信任管理方案。由可信权威维护车辆的信誉等级，将车辆的信誉等级和当前时间作为车辆的属性身份集合，实现匿名的车辆身份与其信誉等级绑定，能够提供车辆的隐私保护；属性签名私钥的及时更新能够抵抗虚假信誉攻击；属性签名验证的同时实现匿名验证车辆的信誉等级；利用假名隐藏车辆的真实身份，实现只有可信权威能够从假名解析车辆的真实身份以更新其信誉等级，并提供恶意车辆身份合法和安全的追踪。在通用群模型下，证明基于属性的签名方案满足不可伪造性的安全性。安全分析进一步表明，所提方案能够保护

3、车辆的身份和位置隐私，实现只有可信权威可以合法追踪恶意车辆，还能够提供抵抗虚假信誉攻击，保证通信的完整性和抵抗重放攻击。性能分析验证了所提方案与已有方案相比，具有一定的计算和通信效率优势。关键词：车载网；信任管理；条件隐私保护；基于属性的签名中图分类号：TP309 文献标志码：A DOI:10.11959/j.issn.2096109x.2023019 Anonymous trust management scheme of VANET based on attribute signature XIAO Min1,MAO Faying1,HUANG Yonghong1,CAO Yunfei2

4、,3 1.School of Cyberspace Security and Information Law,Chongqing University of Posts and Telecommunications,Chongqing 400065,China 2.No.30 Research Institute of China Electronics Technology Group Corporation,Chengdu 610041,China 3.China Electronics Technology Cyber Security Co.,Ltd,Chengdu 610041,Ch

5、ina Abstract:Trust management mechanisms can solve the authenticity assessment problem of messages and establish trust between communication entities in the VANET.However,current trust management schemes lack an effective privacy protection mechanism,leading to privacy concerns for vehicles when bin

6、ding their identity with their trust level.Based on the anonymity of attribute-based signature,an anonymous trust management scheme was proposed 收稿日期：20220612；修回日期：20230302 通信作者：肖敏，基金项目：四川省重点研发计划（2020YFG0292）Foundation Item:The Key R&D Project of Sichuan Province(2020YFG0292)引用格式：肖敏,毛发英,黄永洪,等.基于属性签

7、名的车载网匿名信任管理方案J.网络与信息安全学报,2023,9(2):33-45.Citation Format:XIAO M,MAO F Y,HUANG Y H,et al.Anonymous trust management scheme of VANET based onattribute signatureJ.Chinese Journal of Network and Information Security,2023,9(2):33-45.34 网络与信息安全学报第 9 卷 for VANET.The trust level of the vehicle was maintain

8、ed by the trusted authority.The trust level of vehicles and the current time were taken as the attribute identity set of the vehicle,so as to realize the binding of the anonymous vehicle identity with its trust level,which could provide the privacy protection of vehicles.In addition,the timely updat

9、e of attribute signature private key could resist false reputation attack and the trust level of the vehicle could be verified anonymously while the attribute signature was verified.Furthermore,the pseudonym was used to hide the real identity of the vehicle,enabling only the trusted authority could

10、parse the real identity of vehicles from the pseudonym to update their trust level,and providing legal and secure tracking of the malicious vehicle identity vehicle.Under the general group model,the attribute-based signature scheme is proven to satisfy the security of unforgerability.The security an

11、alysis further shows that the scheme protects the identity and location privacy of vehicles,enables only the trusted authority to legally track malicious vehicles,resists false reputation attacks,ensures communication integrity,and resists replay attacks.Performance analysis confirms that the propos

12、ed scheme has better computation and communication efficiency than existing schemes.Keywords:VANET,trust management,conditional privacy preserving,attribute-based signature 0 引言车载网（VANET，vehicular ad-hoc network）是专门为车辆间通信而设计的自组织网络，每个车辆都配置了无线通信设备和传感设备，使得车辆与车辆、车辆与路侧单元（RSU，road side unit）能够进行通信1，共享如交通

13、事故、道路状况等交通安全信息，及时获知交通环境，进而改善交通安全性和效率。但是，如果合法节点恶意广播虚假消息，将扰乱网络的正常运行，带来严重的交通安全隐患2。因此，如何有效识别恶意车辆以及虚假消息成为 VANET 中必须解决的重要问题。信任管理机制2-5作为 VANET 的安全措施，是解决该问题的主要方法，其根据车辆在VANET 中的行为，建立所有车辆的信誉体系，帮助车辆识别诚实可信的交互方，判断收到的消息是否真实可靠。同时，利用奖惩机制进行信誉的实时更新，激励节点积极合作并提供诚信的服务2。VANET 具有移动易变且通信信道开放的特点，这让恶意车辆的识别和消息真实可靠性的验证面临许多挑战6。

14、构建 VANET 信任管理要求长期跟踪车辆的历史信誉信息，但这与车辆的隐私保护存在冲突。所以，信任管理过程需要实现匿名绑定车辆及其信誉值（或等级）并保证信誉的不断更新。另外，VANET 信任管理中的完全匿名可能会增加恶意车辆从事破坏活动并且逃避追责的风险。例如，车辆滥用匿名性可能会发起选择性行为攻击，此攻击意味着一个诚实合法的车辆节点突变为恶意节点在网络中做出恶意行为4。例如，发送大量同一事件报告消息造成信誉管理过程堵塞。因此，隐私保护必须是有条件的，在恶意事件发生时可以追踪恶意车辆的身份。VANET 信任管理研究中已有一些隐私保护及其条件隐私保护机制，如通过信誉管理中心颁发的信誉证书7或假名

15、7-13实现信誉的证明及其身份隐私保护。文献7提出一种集中式的匿名信誉管理系统。发送车辆 A 将包含其信誉证书和假名证书的消息经多个中间车辆评估后转发至接收车辆 B，B 生成反馈消息发送至信誉服务器更新 A的信誉。转发过程中多个中间车辆将信誉证书和假名证书附加到消息中，隐藏发送者证书信息，但证书的多次应用仍然会暴露车辆的位置隐私。文献8提出了一种基于身份签名和假名的信任管理方案。车辆与 RSU 之间的通信都使用主假名但未进行更换，RSU 可以轻松关联同一主假名的车辆行为，从而暴露了车辆的位置隐私。文献9提出了一种由车辆自我管理的信誉模型。方案中每个车辆改变假名时都要同时宣布其以前和新的假名，使

16、得其他车辆可以链接两个假名相关的消息，暴露车辆的位置隐私。基于信誉证书或假名证书的方法运用于VANET 信任管理存在一些挑战：为了维护车辆的信誉数据，需要持续追踪车辆在网络中的行为活动，但这与车辆隐私保护相矛盾。利用假名隐藏第 2 期肖敏等：基于属性签名的车载网匿名信任管理方案 35 车辆真实身份，需要设计有效的假名变更机制实现位置隐私10。如果仍然采用信誉证书证明车辆的信誉，为了实现身份隐私，只能直接将假名与信誉证书绑定，频繁的假名变更会使得信誉证书的管理非常复杂，最终导致信誉维护和更新不能实现。因此，需要另外一种机制在车辆共享信息过程中提供对信誉的证明和实现持续的信誉更新，其不能关联车辆

17、的任何身份信息，包括掩盖真实身份的假名。文献11-13的方案同样提出使用假名保护信任管理过程中车辆的身份隐私，但未提出有效的假名更改策略，存在隐私泄露的风险，且方案中没有考虑可追溯性，无法实现对恶意车辆真实身份进行追责惩罚。还有一些研究工作使用环签名14或群签名15-16等方法可以实现较好的匿名性，保护车辆的隐私。Liu 等14提出了 VANET 中基于区块链的信任管理模型，设计了一种具有条件隐私保护的公告方案。但是该方案未解决在保障条件隐私保护的前提下提供车辆信誉的证明；并且，方案中使用区块链地址作为假名，若长期使用一个地址会存在暴露车辆位置隐私的风险；另外，该方案采用环签名方法，其造成的计

18、算开销和通信开销与环签名中身份环长的大小呈现线性增长的关系。Chen 等15提出了 VANET 中基于群签名的具有隐私保护的信任管理方案。群签名认证隐藏了发送者的身份，模糊了身份与签名的关联性。但该方案签名以及验证计算开销比较大，会造成较高的时延，降低消息认证的效率；并且所有车辆的信誉数据都由信誉服务器收集并进行计算更新，管理中心的维护成本较大，实用性不好。针对 VANET 中信任管理存在的以上问题，本文提出了一种基于属性签名和假名相结合的具有条件隐私保护的匿名信任管理方案。基于属性的签名作为数字签名的延伸，只有当用户的属性集合满足访问结构时才能生成有效的签名17。签名验证成功，则表明签名用户

19、具有满足访问结构的属性值，但不会暴露车辆的真实身份。本文主要的工作内容如下。1)为车辆颁发属性签名私钥实现匿名的车辆实体与其信誉等级的绑定，将信誉等级属性和时间属性作为签名属性，通过签名验证实现车辆信誉等级的匿名验证，并且时间属性可以控制车辆信誉等级的匿名更新。2)设计合适的假名结构实现与车辆真实身份的隐秘关联，使得只有可信权威能够追踪恶意车辆，防止合法授权的车辆滥用匿名性产生恶意行为。3)利用属性签名方案，对发送的信誉管理相关的消息（如事件报告消息）进行签名，提供消息源的认证和消息完整性保护。1 系统模型与安全目标 1.1 系统模型本文方案的系统模型如图 1 所示，主要包括的实体为可信权威

20、（TA，trusted authority）、RSU和车辆。图 1 系统模型 Figure 1 System model TA 主要负责车辆的注册和信誉信息维护，并且为系统中的合法车辆颁发属性密钥，另外，可以根据发送的消息追踪车辆的真实身份；RSU 收集车辆发送的报告消息（RM，report message）。通过 RM 中获取的车辆信誉等级计算车辆的信誉更新值，之后将信誉更新值反馈给 TA 以更新车辆的信誉等级。本文方案中假定发送预警事件36 网络与信息安全学报第 9 卷的车辆作为报告者（R，reporter），其在系统中主动报告交通状况的车辆，并通过签名生成 RM 发送给邻近的车辆和

21、RSU 来提升自身的信誉等级。1.2 安全目标假设 RSU 为半可信实体，易遭受外部攻击，车辆是不可信的，可能存在恶意车辆对信任管理过程实施攻击。本文方案主要实现的安全目标如下。1)身份隐私：为实现车辆身份隐私保护，只有 TA 可以获得车辆的真实身份，其余实体均不能通过车辆发送的消息和假名获得发送者的真实身份。2)位置隐私：确保攻击者无法链接同一车辆多次参与信誉管理时发送的消息以及使用的假名，保护车辆的位置隐私。3)追踪恶意车辆：在发现恶意车辆的情况下，有且只有 TA 能够追踪到车辆的真实身份，以对其进行处罚。4)抵抗虚假信誉攻击：防止恶意车辆对信誉等级造假或者应用过期的信誉等级破坏信誉管理

22、过程。5)通信安全性：保证通信数据的完整性和数据源真实性及其抵抗重放攻击。2 方案设计本文方案将信誉等级和时间作为属性，利用基于属性的签名机制实现具有隐私保护特性的车辆信誉管理，并保障信誉管理过程的安全。本文方案包括 5 个阶段：系统初始化、车辆注册、密钥生成、事件报告和信誉等级更新。2.1 系统初始化假设系统中所有实体都拥有一对长期的公私钥对，选用任意的安全密码机制，保护实体之间通信的安全性。（1）系统属性和访问结构设置根据信誉更新的频率要求，将一段较长的时期（如一年）划分为等长的时隙（如一天）。设时隙集合为12TS,lL LL=，该集合即系统的时间属性集合。时隙集合随着时间的推移不断

23、更新，因此系统的时间属性永不重复。另外，将车辆的信誉划分为 l 个信誉等级 TrustL 的集合1TL,L=2,lLL，该集合即系统的信誉等级属性集合。（2）基于属性的签名方案文献18建议的基于属性的签名（ABS，attribute based signature）方案，包括4个算法：初始化Setup()(PP,MK)、属性密钥生成算法KeyGen(MK,)(SK)Q、签名算法Sign(PP,SK,)()m以及验证算法Verify(PP,)m(accept/reject)。算法 1 Setup()(PP,MK)该算法由TA执行，根据系统安全参数，输出系统的公共参数PP和系统主密钥MK。TA根

24、据安全参数选择3个素数q阶循环群12,TG G G，定义双线性映射12:Te GGG，随机选取0,pa a b c dZ*，以及生成元1gG和0122,h h hG，并计算cCg=，TAPKdg=，000aEh=，ajjEh=，bjjFh=，1,2j，定义两个哈希函数:0,1)pHZ*和11:pHGZ。TA安全保存主密钥0MK(,)a a b c d=，其中d为TA的私钥TASK，将公共参数1TAPP(,PK,H H C=01201,g h h h E E212,)E F F公布到系统中。设时间属性和信誉等级属性都取值于pZ*，表示为TS,1,2,ipTZjs*=，TL,1,2,jpLZj

25、l*=。算法 2 KeyGen(MK,)(SK)Q 算法2由TA执行，该算法为属性集为Q的车辆生成属性签名私钥SK。在时隙iT，具有信誉等级jL的车辆的属性集为,ijQT L=。TA随机选择一个生成元base1KG，然后计算010base()aKK=，1base()iia bTTKK+=，1()base()jja bLLKK+=，得到属性签名私钥base0SK(,)ijTLKKKK=。在当前的时隙cT，具有信誉等级()TLL V 的车辆V的属性签名私钥记为,base,0,()SK(,)cVVVV TL VKKKK=。算法 3 Sign(PP,SK,)()m 该算法由发送消息的车辆执行，利用签名

26、私钥SK和访问结构=ijijTL=对发送的消息*0,1m进行签名，输出签名。根据文献18中的方法可以将访问结构ijijTL=转换为对应的访问矩阵111221221101MM=MM|M=，车辆计算签名如下。第 2 期肖敏等：基于属性签名的车载网匿名信任管理方案 37 求解向量12(,)v v=v，使得1,0=vM，显然，12(,)(1,1)v v=-v。计算()H m=。随机选取0prZ*和12,pr rZ，计算 0base()rYK=，00()rWK=(1)001111()()()()iirrvrrTTSKCgKCg=(2)002222()()()()jjrrvrrLLSKCgKCg-=(3

27、)11 121 211111111()()()jiiLTTMrMrrPE FE FE F=(4)12 122 212222222222()()()()iiTMrMrLjTrrLjPE FE FE FE F=(5)签名结果1212(,)ijmY W S S P P=。车辆V在访问结构V下对消息m的签名记为()VVm。算法 4 Verify(PP,)(accept/reject)m 该算法由接收消息的实体执行。根据系统公共参数，验证对消息m的签名(,ijmY W=1212,)S SP P是否正确，输出接受（accept）或拒绝（reject）。根据访问结构对应的访问矩阵11122

28、1221 10 1MMMM=|M=和()H m=，检查以下式子是否成立。00(,)(,)e W Ee Y h=(6)112111121111(,()(,()(,)(,)iTMMLje SE Fe SE Fe Y h e CgP=(7)12221222222(,()(,()(,)iTMMLje SE Fe SE Fe CgP=(8)若式(6)、式(7)、式(8)都成立，则输出accept，否则输出reject。本文所用方案是文献18方案在实践中的具体应用，与原方案的不同之处在于本文ABS中的访问结构只包括时间属性iT和信誉等级属性jL的与运算结构ijijTL=，因此该方案不能实现签名用户的属性隐

29、私，而且信誉管理过程需要利用公开的车辆信誉等级属性。本文方案利用ABS的匿名性和假名机制实现信誉管理过程的身份和位置隐私。ABS的匿名性体现在ABS中只包含通用的时间和信誉等级属性，没有包含任何与车辆身份相关的信息。下面给出ABS不可伪造性的定义。定义 118 如果任意多项式时间的敌手A在和挑战者C的游戏中成功的优势是可忽略的，则称基于属性的签名算法具有不可伪造性。初始化阶段。挑战者C输入安全参数，运行Setup()算法得到系统的公共参数PP，并将PP发送给敌手A。询问阶段。敌手A可以发起如下询问。密钥生成询问。敌手A向挑战者C发出属性集合iQ的密钥生成请求，C返回相应属性签名私钥SKiQ。签

30、名询问。敌手A向挑战者C发送(,)jjm请求签名，挑战者C返回对应的签名(,)jjjm。敌手A输出签名*(,)m。如果敌手A没有询问过满足访问结构*的任何属性集的私钥，也没有询问过*(,)m的签名，且*Verify(PP,)acceptm=，则称敌手A在该游戏中获得成功。2.2 车辆注册当新车辆V加入系统中时，向TA提供自己的真实身份信息进行验证，若验证通过，TA为车辆分配唯一身份标识RIDVpZ，并初始化车辆的信誉等级为0L。之后，TA将注册成功车辆的信息记入其维护的车辆信息表（如表1所示）中。其中，属性密钥参数base1KG是车辆请求属性私钥时产生的用于生成属性私钥的公共基底，初始值为空

31、（Null）；basepTZ*为生成属性私钥时对应的时隙，初始值为车辆注册时对应的时隙，在车辆请求属性私钥时进行更新。在时隙sT注册到系统的车辆V的信息记录为0(RID,(Null,)VsLT。表 1 车辆信息 Table 1 Vehicle information 符号信息 RID 身份标识 TrustL 信誉等级 basebase(,)KT 属性密钥参数 38 网络与信息安全学报第 9 卷 2.3 密钥生成想要参与信誉管理的车辆首先需要向TA申请当前时隙的属性签名私钥并生成假名（PID，pseudonym identity），用于对发送消息进行签名，证明自己的信誉等级并保护自己的隐私

32、。（1）车辆属性签名私钥生成车辆V由安全信道向TA发送属性私钥请求REQSK，请求中包括车辆的真实身份标识RIDV和时间戳等信息。TA根据REQSK中的真实身份标识RIDV查找车辆信息表中该车辆的信誉等级为TrustL()TLL V=。为了激励车辆积极参与信誉管理，TA可以通过如下方式进行信誉等级的更新。计算basecTTT=-，cT为系统当前时隙，baseT是信息表中记录的上一次密钥请求（即信誉更新）的时隙，T即该车辆两次参与信誉管理的时间间隔。如果T过大，超过某个阈值0T（由系统初始化时设置），TA根据事先制定的规则，如文献19方案中给出的*()()TL VL V=（其中(0,1)表示为

33、时间衰落因子，是由系统设置的参数），以实施惩罚，更新信誉等级为*()L V，从而车辆的属性集更新为*(),cQL VT=。针对更新的属性集，TA运行属性签名的*KeyGen(MK,)Q算法，得到车辆V的属性签名私钥，记为,base,0,()SK(,)cVVVV TL VKKKK*=；TA用最新的base(,)cKT更新车辆V信息表中对应的属性密钥参数basebase(,)KT。（2）假名生成在执行私钥生成算法的同时，TA利用自己的公钥和车辆V的真实身份产生车辆的假名，该假名和属性私钥一起用于一次信任管理过程。具体方法如下。随机选择VpkZ*并计算 ,1VkVDg=(9),21TARID(PK

34、)VkVVDH=(10)得到车辆的假名TA,1,2SKPID(,SignVVVDD=,1(|VD,2)VD，其中TASK,1,2Sign(|)VVDD是TA对假名的签名，用于防止车辆自己生成不符合规则的假名逃避追踪。属性私钥SKV和对应的假名PIDV被TA安全发送给车辆V。2.4 事件报告在当前时隙cT，设事件报告者为车辆R，具有信誉等级*()L R，其主动向周围车辆报告事件消息*0,1m。为了证明事件消息m的来源和报告者的信誉等级并保证消息不被篡改，车辆R运行基于属性的签名算法Sign(PP,SK,|TS|RRm PID,)RR对报告内容(|TS|PID)RRm进行签名，其中PP是系统公共

35、参数，,baseSK(,RRK=,0,(),)cRR TL RKKK*是车辆R的属性签名私钥，PIDR为车辆R的假名，TSR表示事件报告的时间戳，访问结构*()RcTL R=，得到签名结果为(|TS|PID)RRRRm，车辆R将关于事件m的报告消息RM,TS,PID,(|RRRRRmm=TS|PID),RR R发送给附近的车辆以及RSU进行信誉计算。2.5 信誉等级更新接收车辆或RSU接收到报告消息RMR，首先检查时间戳TSR是否有效，有效则运行签名验证算法Verify(PP,(|TS|PID),(,TS,RRRRRmm PID),)RR验证签名的正确性。如果签名有效，接收车辆或RSU由

36、报告消息可以获得报告车辆R的信誉等级*()L R。接收车辆和RSU还可以根据事件内容的真实性判断报告者R是否存在恶意行为，并且向TA进行举报，可由TA对恶意车辆进行惩罚（对于恶意行为举报过程，本文不再重点详述）。对车辆信誉产生影响的因素除了车辆诚实或恶意的行为，还有车辆报告不同级别的事件以及车辆报告的顺序等。参考文献20中更新信誉的方法，将车辆R报告的预警事件分为3个级别（1,2,3L=）：一是当车辆R失去控制时，会自动广播一级警报信息，避免发生碰撞；二是当车辆R在改变其驾驶状态之前（如紧急变道或制动）广播二级预警消息；三是当出现交通事故或道路损坏引发道路阻塞时广播三级警报消息。另外，为激励车

37、辆积极主动报告事件消息，可以将0,1,Sn=表示为报告者R发送报告消息的顺序，并根据如式(11)所示的奖惩规则计算每个报告者R的信誉更新值Cr。第 2 期肖敏等：基于属性签名的车载网匿名信任管理方案 39 1Re1Pu(1)CrRe or PuSSeLeL=-=(11)其中，和分别表示奖励因子和惩罚因子（由系统初始化时设定）。车辆诚实且积极主动地报告事件消息将获得信誉等级的提升奖励；相反，若车辆恶意或消极地报告事件消息，其信誉等级会相应被降低。RSU将参与信任管理的每一个车辆V的信用数据RSU(TS,Cr,PID)V发送给TA进行信誉等级的更新。TA接收到信用数据后，首先利用车辆V的假名,1

38、,21TAPID(,RID(PK)VVkkVVVVDgDH=和TA的私钥d解析出车辆的身份标识，具体计算方法为,21,1,21RID()dVVVVDH DDH=,21TA()(PK)VVk dkVgDH=。TA利用解析出的RIDV检索车辆信息表，获得车辆V的信誉等级*()L V，然后利用式(12)所示的方法更新车辆的信誉等级，其中，l表示划分的信誉等级的个数。*TrustL()()()Cr,CrReTrustL()()(1Cr),CrPuVL VlL VVL V=+-=+=(12)显然，车辆真实身份解析过程可以直接用于恶意车辆的真实身份追踪。3 安全性证明与分析在ABS方案的安全性证明

39、的基础上进行本文方案的安全性分析。3.1 安全性证明定理 1 在通用群模型下，2.1节所述的ABS方案具有不可伪造性。证明通用群模型下，敌手A只能对群元素进行规范的群操作和双线性操作，即给定一个具有生成元g的循环群G的元素12,nxxxggg，敌手A只能得到形式为12(,)nf x xxg的输出，其中，f是一个多元线性多项式函数。本文所述签名方案的密钥和签名都只在群1G和2G上，没有双线性运算，所以通用群模型的敌手A在伪造签名时不能应用双线性操作。下面，应用通用群模型的敌手A在定义1的游戏中获胜的群元素来分析本文所用ABS方案的不可伪造性。考虑在ABS中定义的两个循环群1G和2G，如果12

40、GG=，则来自两个群的元素可以混合进行群运算，通用群模型的敌手A能得到更多的运算结果，对敌手A更为有利，因此，在下面的证明中假设12GG=。在此假设基础上，设定这两个群的共同生成元g，在定义1的游戏中敌手A能够得到的所有群元素用生成元g表示如下。初始化阶段。敌手A获得系统公共参数00TA00PP,PK,jacdjg CgghgEghg=,(1,2)jjabjjEgFgj=。密钥询问。敌手A第k次询问属性集()()()(,)kkkQTL=的密钥，得到()()()()()()()()0()()()base()()0,SK,kkkkkkkkkxkxka bTTQxxakka bLLKgKgKgKg+

41、=|=|=(13)其中，()*kPxZ为随机数。假设总共询问I次，即1,2,kI。签名询问。敌手A第q次询问()()(,qqm=()()qqTL的签名，得到挑战者C返回的签名。观察签名中各项1212(,)Y W S SP P的结构，12,Y S S这3项的离散对数用随机数完全随机化，剩余3项12,W P P中没有出现新的随机数，即12,Y S S确定，意味着12,W P P随之确定。因此，从敌手A的视角，签名可以表达为更为简洁的形式()()()()(01212()(,)qqqqqqyassppqygggggg=），其中()()()*12,qqqPPssZyZ为随机数，()1q

42、p=()()()11()()qqqqsabTyc=+-+，()22()qqpc=+()()()()12()()qqqqsabTsabL+，假设共询问了J次，即1,2,qJ。表2为敌手A在游戏中获取的以g为底的离散对数项。敌手A利用表2中获得的所有项进行伪造签名。假设A输出消息*m关于访问结构*TL=的伪造签名*12*(,ssygggg=*12,)ppgg，满足*0y，*0及其对所有的1,2,qJ有*()()(,)(,)qqmm和所有的40 网络与信息安全学报第 9 卷 1,2,kI有*()()1kQ。设*()H m=，如果该签名能够通过验证，则必须有 *0ya=(14)*1

43、11 1()()cpysabT+=+(15)*2212()()()cpsabTsabL+=+(16)表 2 敌手在游戏中获取的以 g 为底的离散对数项 Table 2 The discrete logarithm base g acquired by the adversary in the game 算法阶段离散对数项初始化 0 01212121,c daaabb 密钥询问()()()()()()0,1,2,kkkkkkxxa xa bTxa bLkI+签名询问()()()()012()()()()111()()()()()()2212(),(),()(),1,2,qqqqqqqqqqq

44、qqqqyyasspsabTycpsabTsabLcqJ=+-+=+设表2所示的所有项的集合为，()表示上的齐次多项式集合。由表2可知，敌手A要想获得*0ya=，只能应用00a和(),kxk 1,2,I，(),1,2,qyqJ中的项，即*()()00(,1,2,1,2,)kqya xykI qJ=。由等式(15)、式(16)可知，*1p和*2p分别是1和2的倍数，故*()(,1,2,qjjjjjpab pq ),Jj1,2=。从等式(14)、式(15)容易看出，*y不会含有00a项（因为等式中所有的其他项都没有0），即*()()(,1,2,1,kqyxykI q=2,)J。同理，*(1,2

45、)jpj=不会含有单独的项j（因为两个等式的右边只能有项0,jjjab）。进而，*(1,2)jpj=也不会含有(1,2)qjpj=项（因为会在两个等式的左边产生*()()()qqcc+，而等式的右边不可能得到如此形式的项），即*(,),1,2jjjpabj=。由等式(15)进一步得到*y不会含有()qy项，即*()(,1,2,)kyxkI=。设*y中包含()0kx项，因为等式(15)左边的项*1()cp+不可能含有()kx，所以将等式(15)右边的*1s分为两项，一项不含有()0kx，另一项含有()0*kxabT+，根据等式(16)，*2s也需要包含()0*kxabL+项。而根据表2，敌手A只

46、能在*()kTT=，*()kLL=时能得到对应的项，这说明敌手A在密钥询问阶段得到了属性集*,TL的密钥，该签名不再是一个伪造。3.2 安全性分析（1）身份和位置隐私保护本文方案的信任管理过程中车辆发送的消息RMR、AM(RM)iAR中包含ABS签名和假名，ABS签名只与时间属性和信誉等级属性有关，不包含任何与车辆身份相关的信息。而且，在同一时间，会有大量的车辆拥有相同的信誉等级，这意味着大量的车辆具有相同的时间属性和信誉等级属性值，从而不能根据属性值对车辆进行识别。假名PIDV由TA生成，想要从假名中恢复出真实身份RIDV，就必须要计算出TAPKVVkdkg=，只有TA知道私钥d和随机数V

47、k，TAPKdg=和,1VkvDg=公开，计算D-H（CDH，computational Dif-fie-Hellman）困难问题保证除了TA，其他方都不能在有效时间内恢复车辆的真实身份，因此，车辆的身份隐私得到保护。另外，本文方案的位置隐私指不能链接同一车辆参与的任意两次不同信誉管理的消息，因为本文方案中车辆每参与一次信誉管理，就需要更新属性私钥和假名，并且一次性假名被随机数Vk随机化，车辆的假名不能被链接，实现了车辆的位置隐私保护。（2）追踪恶意车辆本文方案利用假名实现车辆真实身份的可追踪性。车辆V的假名TA,1,2SK,1PID(,Sign(VVVVDDD=,2|)VD由TA生成，可以

48、实现两个目的。TA不用存储假名就可以利用自己的私钥SKTA=d从假名中解析出车辆的真实身份标识RIDV，而且只有TA才能解析车辆的真实身份，保证了当合法车辆产生恶意行为时其真实身份能够被追踪。假名中的签名TASK,1,2Sign(|)VVDD由TA利用私钥SKTA=d通过一个安全的签名算法得到，使得车辆不能自行生成不符合规则的假名，从而逃避追踪。第 2 期肖敏等：基于属性签名的车载网匿名信任管理方案 41 （3）抵抗虚假信誉攻击虚假信誉攻击是指车辆用一个假的信誉等级或者旧的信誉等级属性对消息签名，从而扰乱RSU对消息可信度的判断和整个信誉管理过程。例如，车辆可能倾向于利用更高的信誉等级属性

49、获取收益。如果车辆随意选择一个假的信誉等级TLL，那么其没有相应的属性私钥，ABS签名的不可伪造性使得该车辆不能形成有效的签名。一个可能的方法是重用以前的信誉等级属性私钥。在本文方案中，一个信誉更新过程总是取当前时隙作为时间属性，该属性值永不重复，具体体现在签名验证等式(7)、式(8)中所用的时间属性值iT总是为当前时隙的值。所以车辆只能用当前自己的时间属性私钥和以前的信誉等级属性私钥对当前的消息进行签名。根据ABS方案的定义，具有属性集(),()iQ VT L V=的车辆V的属性签名私钥为011,base,base0,baseSK,(),=(),iia bTaVVV TVV

50、KKKKK+=1()(),base()a bL VL VVKK+=，其中所有的私钥组件都依赖于一个公共的基底,baseVK，其是群1G中的一个随机生成元，在生成密钥时随机产生。因此，同一个用户在不同时隙内的属性私钥组件的基底会不相同，上述的攻击策略会导致私钥组件,iV TK和()L VK的基底不相同，从而在产生的签名中1S和2S具有不同基底，签名验证等式(7)、式(8)不能被满足，即签名验证失败。只要划分的时隙长度使得车辆在一个时隙内只进行至多一次信誉更新，本文方案就可以防止虚假信誉攻击。（4）通信过程安全性消息认证：由定理1可以得到没有一个多项式时间的敌手能够成功伪造消息签名。因此本文中的

展开阅读全文