车载网中高效安全的无证书聚合签名方案.pdf

《车载网中高效安全的无证书聚合签名方案.pdf》由会员分享，可在线阅读，更多相关《车载网中高效安全的无证书聚合签名方案.pdf（15页珍藏版）》请在咨信网上搜索。

1、NETINFOSECURITY专题论文doi：10.39 6 9/j.is s n.16 7 1-112 2.2 0 2 4.0 2.0 0 32024年第2 期车载网中高效安全的无证书聚合签名方案顾妍妍，沈丽敏，高晨旭，朱婷（南京师范大学计算机与电子信息学院，南京2 10 0 2 3）摘要：为了保障车载网系统中车辆间通信的完整性、真实性、有效性和即时性，文章提出了一种能抗合谋攻击且不需要双线性对的无证书聚合签名方案。无证书密码体制既较好地解决了基于身份的密码体制所固有的密钥托管问题，又保留了基于身份的密码体制不需要使用公钥证书的优点。文章基于椭圆曲线离散对数问题和分叉引理，在随机预言模型中严

2、格证明了其安全性。性能及效率分析表明，该方案是有效的，在保证通讯数据完整性和真实性的同时，减少了带宽开销以及存储开销，提高了验证效率。关键词：聚合签名；合谋攻击；无证书密码体制；车载网中图分类号：TP309文献标志码：A文章编号：16 7 1-112 2（2 0 2 4）0 2-0 18 8-15中文引用格式：顾妍妍，沈丽敏，高晨旭，等。车载网中高效安全的无证书聚合签名方案.信息网络安全，2 0 2 4，2 4(2)：18 8-2 0 2.英文引用格式:GU Yanyan,SHEN Limin,GAO Chenxu,et al.Efficient and Secure Certificatel

3、ess AggregateSignature Scheme in Vehicle NetworksJ.Netinfo Security,2024,24(2):188-202.Efficient and Secure Certificateless Aggregate Signature Scheme inVehicle NetworksGU Yanyan,SHEN Limin,GAO Chenxu,ZHU Ting(School of Computer and Electronic Information,Nanjing Normal University,Nanjing 210023,Chi

4、na)Abstract:Certificateless cryptography not only eliminates the key escrow probleminherent in ID-based cryptography,but also maintains the advantages of ID-basedcryptography that does not need public key certificate.In order to ensure the integrity,authenticity,validity and immediacy of the communi

5、cation between vehicles in the VANETssystem,this paper proposed a certificateless aggregate signature scheme without bilinearpairing and the scheme could resist coalition attacks.In the random oracle model,the securityof the algorithm was rigorously proved based on the elliptic curve discrete logari

6、thm problemand bifurcation lemma.The performance and efficiency analysis show that the schemeis effective,it can ensure the integrity and authenticity of communication data,reducebandwidth and storage overhead,and improve the verification efficiency.Key words:aggregate signature;coalition attacks;ce

7、rtificateless cryptosystem;vehicular ad-hoc networks收稿日期：2 0 2 3-12-17基金项目：国家自然科学基金6 18 0 2 195作者简介：顾妍妍（1997 一），女，河南，硕士研究生，主要研究方向为公钥密码学；沈丽敏（197 8 一），女，江苏，副教授，博士，CCF会员，主要研究方向为信息安全和密码学；高晨旭（2 0 0 0 一），女，山东，硕士研究生，主要研究方向为密码学和信息技术；朱婷（1999一），女，山东，硕士研究生，主要研究方向为密码学。通信作者：沈丽敏188NETINFOSECURITY2024年第2 期物联网安全0引言

8、随着科技的进步，签名技术被广泛应用于各类场景中，以保证数据信息的安全传输，尤其在密钥分配、电子银行、电子医疗及智能交通等领域发挥着巨大的作用。大多数智能设施及通信系统的存储和带宽资源有限，且所要求的通信延迟较低，因此，如何在保证安全通信的同时，提高效率、降低带宽并减少存储开销是目前需要考虑的重要问题。聚合签名可以将来自n个不同用户对不同消息上的n个签名聚合成一个签名，在传输和验证过程中只需对一个聚合签名进行处理，极大降低了通信带宽和验证计算的开销，且服务器只需对一个聚合签名进行存储，有效降低了存储开销。但在公开的网络环境中，无法保证任何节点是完全安全的，可能存在恶意节点进行合谋，即恶意节点会使

9、用一组签名（至少包含一个无效的单个签名）生成一个有效的聚合签名。然而现有的大多数聚合签名方案并未考虑到这一问题，这将会破坏聚合签名的安全性，造成通信资源的浪费。基于此，本文提出一种适用于车载网系统的抗合谋攻击的无证书聚合签名（Certificateless Aggregate Signatures，CLAS）方案。本文第1章分析车载网系统下无证书签名方案的研究现状，第2 章介绍CLAS方案的系统模型与安全模型，第3章阐述CLAS方案的具体内容，第4章证明CLAS方案的安全性，第5章分析CLAS方案的性能与效率，第6 章总结全文。1研究背景智能交通系统应用传感、通信和数据分析等技术在交通管理中发

10、挥着重要作用，其中车载网（VehicularAd-HocNETworks，V A NET s）系统是智能交通系统中最典型的应用1-4，车辆通过安装车载单元（OnBoardUnit，O BU），实时收集路况信息，通过信息交互为车辆提供最新的交通现状，提升驾驶体验。VANETs通常由3部分组成：路边单位（RoadSideUnit，RSU）可信权威（Trusted Authority，T A）和安装了OBU的车辆。VANETs系统中存在两种通信模式，即车辆与基础设施间的通信（Vehicles to Infrastructure，V2 1）和车辆与车辆间的通信（Vehicles to Vehicles

11、，V 2 V）。在V2V模式中，车辆安装的OBU收集与交通相关的信息，如当前交通情况和车辆情况等，车辆间根据无线通信环境中的专用短程通信DSRC协议（IEEE802.11p）进行通信，其他车辆收到信息后可以及时调整线路，避免引起交通阻塞。此外，可通过RSU将这些信息发送至交通控制中心，交通控制中心通过分析实时信息推测路况，为驾驶员规划出最佳路径。在V2I模式中，车辆通过RSU与相关的应用服务器（Application Server，AS）或TA进行通信，可以在行驶过程中请求服务，如音乐、广播、GPS等。在无线网络中，车辆间的通信可能是不安全的，敌手可通过分析车辆的广播信息来获取其行驶路线等隐私

12、信息，因此车辆的真实身份信息应是对外不公开的。将匿名技术引人VANETs 中，车辆在通信过程中使用TA注册的伪身份进行通信，不使用自己的真实身份，以此来保护车辆用户的隐私。通信过程中存在恶意车辆故意发送一些虚假信息的情况，匿名技术的使用将导致执法机构无法获取该恶意车辆的真实身份，可能造成智能交通系统的崩溃。因此，在保护车辆用户隐私性的同时，应保证车辆身份的可追溯性，在检测到有恶意虚假信息时，可追溯到发送者的真实身份，并对其进行惩处。VANETs在开放的无线网络环境中进行通信，无线网络具有方便快捷的优点，但面临着一定的潜在危机，例如，存在一些恶意敌手攻击该网络。敌手可以对传输的信息进行更改、拦截

13、以及删除等操作，对交通造成严重损害。为解决通信过程中信息的有效性和效率等问题，本文采用对消息签名的方式保证信息的真实性、完整性和不可抵赖性。基于传统公钥的密码体制需对大量的证书和身份验证信息进行管理，而基于身份的密码体制存在密钥托管问题，因此，本文采用无证书公钥密码体制。双线性映射的运算开销极大，本文采用无双线性对的签名方式降低信息在验证时的189NETINFOSECURITY专题论文2024年第2 期运算开销，在保证信息真实有效的同时，提高车辆通信的时间效率。为节省传输过程中的带宽开销和服务器的存储开销，本文采用聚合签名信息的方式，将来自不同用户生成的多个签名聚合成单个签名，在网络中只需传输

14、一个聚合签名，AS也只需对一个聚合签名进行验证，极大减少了上述开销。由于开放网络存在各种不确定性，其无法保证通信过程中每个参与的节点都是完全可信的，它们可能会进行合谋来伪造能够通过验证的聚合签名，因此聚合签名需要能抵抗此类攻击。1.1相关工作随着科技的进步，智能交通系统的应用越来越普遍，通过VANETs进行通信的车辆数量与日俱增，为保证通信安全，已有多种VANETs系统5-9被提出。车辆通过安装的OBU进行通信，其信息通过路边单位RSU传输，以完成车辆与车辆间通信和车辆与基础设施间通信。在通信过程中，除了要保证信息的真实性和有效性外，还应对车辆真实信息进行隐私保护。此外，需保证对车辆身份的可追

15、踪性，以避免因恶意车辆故意发送虚假信息而对交通造成不可弥补的损失。因此，本文采用对信息进行签名的方式保证消息的真实性、完整性和不可抵赖性，同时令车辆在网络中使用TA注册的伪身份进行通信，并保留TA对其伪身份的可追查功能。1985年，SHAMIR10I提出了基于身份的密码体制，于该模型下可证明安全的无证书签名方案。但文献17 方案需要较多的双线性对计算，效率较低，性能较差。2012年，HE18等人提出一种不需要双线性对的无证书签名方案，并在随机预言模型下对其进行了严格证明。2013年，TIAN19等人指出文献18 方案无法抵抗第二类敌手，是不安全的。随后，越来越多的学者关注于这一研究方向，目前已

16、有诸多无证书签名方案2 0-2 2 被提出，有些适用于物联网资源受限的场景2 3-2 7，也有无需双线性对计算高效无证书签名方案2 8.2 9。然而，VANETs系统中用户数量十分庞大，如果AS逐个验证每个车辆的消息签名，将带来很大的存储开销、验证成本及带宽负担。2 0 0 3年，BONEH21等人提出了聚合签名的概念，使得RSU在传输过程中及AS在验证过程中只需对一个聚合签名进行处理，而无需处理大量的单个签名，极大降低了带宽和存储开销。目前已有很多研究人员提出了关于无证书体制下的聚合签名方案30-34。通过上述分析，本文为VANETs系统提出了一个不需要双线性对的 CLAS方案。在本文方案中

17、，KGC与注册追查中心（TraceAuthority，T RA）共同构成可信权威机构TA，由TRA为车辆注册在本网络中通信使用的伪身份，其中车辆的真实身份只能由TRA进行追查，兼顾了车辆用户隐私性和车辆身份可追溯性；由KGC为车辆生成通信所需的部分私钥，具体的无证书体制下的VANETs模型如图1所示。TA解决了传统公钥密码体制下的证书管理问题。这一体制的提出引起众多学者的广泛关注，目前已有许多该体制下的加密或签名方案11-15被提出。然而基于身份的密码体制仍然存在密钥托管这一固有缺陷。2 0 0 3年，AL-RIYAMI16等人提出的无证书密码体制，有效解决了这一固有缺陷，且避免了传统公钥密码

18、体制下证书管理的问题，但其提出的第一个无证书签名方案并没有制定一个形式化的安全性分析。2 0 0 5年，HUANG17等人给出了形式化的安全模型，并指出AL-RIYAMI16等人的方案无法抵抗公钥替换攻击，同时提出一种基KGCRSUTRA.图1VANETs模型(Internet190NETINFOSECURITY2024年第2 期物联网安全VANETs系统通信时，车辆处于一个开放的公共网络，网络中的每个节点都不是完全可信的，这就使VANETs系统处于一种潜在的现实攻击中，即合谋攻击35。合谋攻击是指一些签名者将含有无效单个签名的一组签名压缩生成一个有效的聚合签名。在该攻击中，敌手可以掌控若干签

19、名人和聚合者，企图利用被其掌控的参与者的秘密信息，伪造生成能够通过验证的聚合签名。目前，已有一些聚合签名方案可以抵抗这种攻击。SHEN36等人给出了一种抗合谋攻击的安全模型，并提出一种在该安全模型下可证明安全的聚合签名方案。WU3等人提出一种完全选择密钥攻击，并提出一种无证书聚合签名方案，该方案也可抵抗合谋攻击。结合上述分析，本文提出一种高效的适用于车载网系统的无证书聚合签名方案（CertificatelessAggregate Signatures-Vehicular Ad-Hoc NETworks,CLAS-VANETs），该方案还可抵抗合谋攻击，在保证效率的同时进一步提高安全性。1.2C

20、LAS方案的贡献VANETs 在智能交通系统中的应用极大提高了用户的驾驶体验。在车辆通信过程中，保证通信数据的真实性和完整性的同时，降低带宽开销和存储开销，提高验证效率十分重要。故本方案的设计目标：1）保证通信数据在网络通信过程中的有效性；2）在网络吞吐量和计算效率有限的情况下，提高通信数据的传输速率；3）降低VANETs系统中应用服务器的存储开销。本文方案为VANETs系统构建了一种高效的可抵抗合谋攻击的CLAS方案。该方案采用密钥协商的方法，加密传输秘密消息，使车辆可以在开放网络信道中安全通信。2CLAS方案概述2.1CLAS方案的定义CLAS方案具有如下10 个算法。Setup算法：KG

21、C运行该算法，输人安全参数l，输出KGC主密钥msk和公开参数列表paramsPIDGen算法：TRA运行该算法，输人公开参数params和车辆V,的真实身份ID;，输出车辆的伪身份PID;。SecretValueGen算法：车辆V运行该算法，输人公开参数params，输出车辆的秘密值xi。PPKeyExtract算法：KGC运行该算法，输人公开参数params、车辆V,的伪身份PID;、K G C以及主密钥msk，生成相应部分私钥DpID,。SetSecretKey算法：车辆V运行该算法，输人公开参数params、车辆伪身份PID;、车辆的部分私钥DpID,和秘密值xi，生成相应的完整私钥S

22、K,。SetPublicKey算法：车辆V运行该算法，输人公开参数params和车辆伪身份PID;，生成相应的完整公钥PK;。Sign算法：车辆V运行该算法，输人公开参数params、车辆伪身份PID、消息m;e(0,1)和相应完整私钥SK，输出一个签名。SignVerify算法：验证者运行该算法，输人公开参数params、车辆的伪身份PID,及相应的公钥PK,、消息m,和签名i，如果签名有效，则输出1(accept）；否则，输出(reject)。Agg算法：RSU运行该算法，输人公开参数params、有伪身份PID,的n个车辆分别对消息m,的签名;(i=1,;n)输出消息(m,m2,mn)的

23、聚合签名。AggVerify算法：验证者运行该算法，输人公开参数params、有伪身份PID,的n个车辆及其相应公钥PK,(i=l,n)、消息(mi,m,mn)和聚合签名。如果签名有效，则输出1（accept）；否则，输出0（reject）。2.2CLAS-VANETs系统模型CLAS-VANETs系统模型主要包含4个部分：可信权威机构TA（包含KGC和注册追查中心TRA）RSU、安装了 OBU的车辆V,和应用服务器AS。安装了 OBU的车辆V,通过RSU将其真实身份信息发送给TRA请求注册，由TRA为车辆V,生成在该局域网内通信使用的伪身份，并通过RSU分别发送给车辆V和KGC，K G C1

24、91NETINFOSECURITY专题论文2024年第2 期收到车辆的伪身份信息后为其生成部分私钥，并将其通过RSU发送给相应的车辆。在此过程中，TRA维护一个区块链表用来保存车辆真实身份和其伪身份的信息对照表，且该表只有TRA可以查看，当有恶意车辆故意发送错误信息扰乱网络通信环境时，TRA通过查表的方式找到该车辆的真实身份信息，并对该车辆进行处罚。CLAS-VANETs 系统模型如图2 所示。1.注册请求(ID)-TRAOBU12.发送伪身份(PID)1(DPID)部分KGCOBU4.发送聚合签名信息3.发送签名信息RSUOBU图2 CLAS-VANETs系统模型完成通信身份注册后，车辆V对

25、要发送的消息进行签名，将生成的签名消息发送至RSU。当RSU收到一定数量的签名消息后对其进行聚合，并将生成的聚合签名消息发送至目标应用服务器AS。随后目标应用服务器AS对收到的聚合签名消息进行验证，如果验证通过，则认为收到的消息是真实有效的。应用服务器AS分析收到的数据，为车辆提供所请求的服务，并通过RSU发送至车辆。TA是具有很高计算能力的可信第三方，主要用于系统初始化，包含KGC和TRA两个单位。KGC建立系统，生成系统公开参数并为OBU生成部分私钥；TRA为OBU注册并进行事后追查。RSU是具有一定计算能力的无线通信设备，部署在道路周围，使用短程通信协议（DSRC）来管理其通信范围内OB

26、U之间的通信。车辆V具有较低的计算能力，嵌入无线通信设备OBU，使用DSRC协议广播车辆当前交通状况，通信时使用TRA为其注册生成的伪身份与其他设备互联互通。AS从RSU中获取大量的交通信息，为车辆提供娱乐、导航等应用服务请求。2.3CLAS方案的安全模型CLAS方案应满足自适应选择消息攻击下的存在不可伪造性（Existential Unforgeability under Chosen-MessageAttack，EU F-CM A）。无证书签名方案应抵御两种类型的敌手：第I类敌手无法获得系统主密钥，但可以替换任意合法车辆的公钥；第类敌手可以获得系统主密钥，但无法替换合法车辆的公钥。CLAS

27、方案应抵抗112.发送伪身份1(PID)111AS15.提供服务1111合谋攻击，因存在第类敌手可以获得所有签名者的密钥。针对上述类型敌手，定义了以下3个游戏。2.3.1游戏1第I类敌手A 和挑战者C之间的游戏1如下。1）系统初始化阶段挑战者C输人安全参数l，运行Setup算法生成公开参数params及主密钥msk，并将公开参数params发送给A。2）查询阶段敌手A自适应地进行如下查询。（1）秘密值查询敌手A查询车辆PID,的秘密值，挑战者C运行SecretValueGen算法生成该车辆的秘密值x,并将其发送给敌手A。（2）部分私钥提取查询敌手A查询车辆PID,的部分私钥，挑战者C运行PPK

28、eyExtract算法生成该车辆的部分私钥DpID,并将其发送给敌手A。（3）公钥查询敌手A查询车辆PID,的公钥，挑战者C运行SetPublicKey算法生成该车辆的公钥PK,并将其发送给敌手AI。（4）替换公钥查询敌手A对车辆PID,的公钥进行替换查询，挑战者C将车辆PID,相应的公钥PK,替换为敌手Ar自由选取192NETINFOSECURITY2024年第2 期物联网安全的PK;，并记录。（5）签名查询敌手A选择一个车辆伪身份PID,和相应私钥SK,对消息m,进行签名查询，挑战者C运行Sign算法生成相应签名,并返回给敌手Al。3）伪造阶段敌手A输出一个元组(PID,m,），其中。为敌

29、手A伪造的签名。当且仅当以下条件成立时，敌手A获胜。（1）。是一个有效的签名。（2）敌手A至少未对n个车辆中的一辆进行部分私钥提取查询，设该车辆为PID*，即不能对有伪身份PID*的车辆进行部分私钥查询。（3）敌手A未对(PID*,m）进行签名查询。2.3.2游戏2第类敌手A和挑战者C之间的游戏2 如下。1）系统初始化阶段挑战者C输入安全参数l，运行Setup算法生成公开参数params和主密钥msk，并将公开参数params和msk发送给A。2）查询阶段敌手A自适应地进行如下查询。（1）秘密值查询敌手Au查询车辆PID,的秘密值，挑战者C运行SecretValueGen算法生成该车辆的秘密值

30、x并将其发送给敌手A。（2）部分私钥提取查询敌手A查询车辆PID,的部分私钥，挑战者C运行PPKeyExtract算法生成该车辆的部分私钥DplD,并将其发送给敌手A。（3）公钥查询敌手A查询车辆PID,的公钥，挑战者C运行SetPublicKey算法生成该车辆的公钥PK,并将其发送给敌手A。（4）签名查询敌手A选择一个车辆伪身份PID,和相应私钥SK对消息m,进行签名查询，挑战者C运行Sign算法生成相应签名o,并返回给敌手AI。3）伪造阶段敌手A输出一个元组(PID,m,），其中为敌手Au伪造的聚合签名。当且仅当以下条件成立时，敌手Au获胜。（1）是一个有效的签名。（2）敌手A至少未对n个

31、车辆中的一辆进行秘密值查询，设该车辆为PID，即不能对具有伪身份PID*的车辆进行秘密值查询。（3）敌手A未对(PID,m）进行签名查询。定义1EUF-CMA如果任何多项式时间，敌手Al（敌手A）赢得游戏1（游戏2）的概率可忽略，那么在多项式时间内，CLAS方案为EUF-CMA的。2.3.3游戏3第类敌手A和挑战者C之间的游戏3如下。1）系统初始化阶段挑战者C输人安全参数l，运行Setup算法生成公开参数params、主密钥msk和目标服务器的公私钥对(PKver,SKver），随后将公开参数params和PKver发送给敌手Al。2）查询阶段敌手A自适应地进行如下查询。（1）秘密值查询敌手A

32、m查询车辆PID,的秘密值，挑战者C运行SecretValueGen算法生成该车辆的秘密值x;并将其发送给敌手All。（2）部分私钥提取查询敌手Am查询车辆PID,的部分私钥，挑战者C运行PPKeyExtract算法生成该车辆的部分私钥DpID,并将其发送给敌手All。(3）公钥查询敌手Am查询车辆PID,的公钥，挑战者C运行SetPublicKey算法生成该车辆的公钥PK,并将其发送给敌手All。193NETINFOSECURITY专题论文2024年第2 期（4）聚合签名验证查询当收到关于(PID,mi,0,PK,i=1,2,n),o)的查询后，挑战者C运行AggVerify算法并输出1(a

33、ccept)或0(reject)3）伪造阶段敌手Am输出一个聚合签名(PID,mi,oi,PK,i=l,2，n),），其中为敌手Am伪造的聚合签名。当且仅当以下条件成立时，敌手Am获胜。（1）是一个有效的聚合签名。（2）参与聚合的一组单个签名中至少有一个是无效签名。定义2 聚合签名的有效性如果Am赢得游戏3的概率在多项式时间内是可忽略的，则称该方案是抗合谋攻击的，即聚合签名的有效性等价于参与聚合的所有单个签名的有效性。定义3椭圆曲线离散对数问题（Elliptic CurveDiscreteLogarithm Problem，ECD LP）令G为椭圆曲线上q阶的加法循环群，其中q为大素数。给定P

34、和aP，求解a的值，其中，aeZ，Z,代表(1,2,q-1)的元素集合，P为 G的生成元。定义概率多项式时间算法A解决ECDLP的优势为Adh,ECDLP(A)=PrA(P,aP)=a。若对于任意的多项式时间算法A，优势AdvECDLP(A)都是可忽略的，则称之为满足ECDLP假设。3CLAS方案的算法实现1)Setup算法输人安全参数1；KGC随机选取一个q阶（大素数）的加法群G，随机选取群G的一个生成元PeG；K G C选择一个随机数sEZ，为其主密钥，令Ppub=sP为其公钥；KGC选取加密函数E,()和解密函数D,()，其中元为加解密函数的密钥；KGC选取抗碰撞的哈希函数H:(0,1)

35、*Z,(i=1,6);TRA 随机选择一个数值veZ,为其私钥，令Tpub=vP为其公钥，TRA将公钥Tpub发送给KGC；A S随机选择一个数值yeZ为其私钥，令Y=yP为其公钥；KGC秘密保存主密钥msk=s，并公开 params=(q,P,e,Tpub,Ppub,g,H,H2,H3,H,Hs,Ho),即在网络内广播给车辆V、T RA 和路边单位RSUj。2)PIDGen算法车辆V,通过路边单位RSU,转发身份注册认证请求给TRA，T RA 对其生成一个伪身份PIDi，并通过RSU,转发给请求车辆。（1）车辆V随机选取一个数值zieZ。，计算PID,=z,Pri,=H(ID,PID,1,T

36、pub,z,Tpub),P,=Eru(IDr,），其中为车辆V认证请求消息的有效期限。随后车辆V将消息元组(PIDi，Pi，t v）通过RSU,转发给TRA。（2）T RA 收到车辆V的身份注册请求后，计算双方的协商密钥元u=H(ID,PID,u,Tpub,VPID,)，通过对加密信息进行解密计算Dam(p)后，得到(ID,t)。若t,+t,或T,已过期，则TRA终止；否则，TRA随机选择k;eZ，计算K,=k,P。然后，令PID,2=ki+vi，其中;=H2(PIDi1,K,Tpub,t,）。最终TRA为车辆V,在网络中通信使用所注册生成的完整伪身份 PID,=PID;,PID;,2,T,)

37、,其中t,为该伪身份可使用的有效期限。（3）T RA 将生成的伪身份及其有效期信息进行加密（使用TRA和车辆V,的协商密钥进行加密），计算=E（K,PID,t），随后将生成的伪身份消息元组(Ki,p,t）通过公开信道转发至请求车辆V。（4）T RA 将生成的伪身份及其有效期信息进行加密（使用TRA和车辆V的协商密钥进行加密）。首先计算双方的协商密钥元;2=H;(Tpub,Ppub,/Ppub）；然后通过该密钥对伪身份消息进行加密，计算=E元2（K,PID;,t）；最后将生成的伪身份消息元组(K,t）通过公开信道转发给KGC。（5）T RA 建立一个区块链表PID-ID，该链表中存储车辆V的伪身

38、份和其真实身份消息对，将消息元组(ID,PID)存人该表。区块链表 PID-ID由 TRA秘密保存，且只有 TRA有权利对该表进行更新、查看及删除等操作。当某车辆存在可疑或恶意行为时，由TRA194NETINFOSECURITY2024年第2 期物联网安全查询该表，追查其真实身份。3）Se c r e t V a lu e G e n 算法车辆V通过路边单位RSU,收到TRA发送的伪身份消息元组(K,o,t)后，首先计算双方的协商密钥元i,l=H(ID,PID,Tpub,z,Tpub），然后通过对加密信息进行解密计算Da(d)得到一个伪身份PID,及其有效期tt，当且仅当下列条件都满足时，车辆

39、V接受该伪身份。(1)等式PID;zP=K;+,Tpub成立,其中;=H2(PID;1,;=H2(PIDi,K,Tpub,t,)。(2)Ti,=ti,。（3）t,在有效期内。车辆V随机选取一个数值x;EZ作为它的秘密值，计算X,=x,P，并设置X,为车辆V的用户公钥。4）PPK e y Ex t r a c t 算法KGC通过路边单位RSU,收到TRA发送的某车辆的伪身份消息元组(K,t)后，首先计算双方的协商密钥元i,2=Hi(Tpub,Ppub,sTpmb)，然后通过对加密信息进行解密计算Da,(a)得到某个伪身份PID;及其有效期tt，当且仅当下列条件都满足时，KGC接受该伪身份。（1）

40、等式PIDiz2P=K,+;Tpub成立，其中;=H2(PID;,;=H2(PIDi,K,Tpub,T,)。(2)T,=t,。（3）t,在有效期内。KGC运行PPKeyExtract算法，随机选取reZ，计算 R,=nP,DpID,=r+s,其中,=H,(PID,R,Ppub)。KGC将生成的部分私钥及其有效期信息进行加密（使用KGC和车辆V的协商密钥进行加密），首先计算双方的协商密钥元i3=Hi(PID,X,Ppub,sX）；然后通过该密钥对部分私钥消息进行加密计算0,=E元（PID,DpID,Tz），其中 Ti,为其有效期；最后KGC将(R,O,Tk)通过公开信道传送给具有伪身份PID,的

41、车辆V。5）Se t Se c r e t K e y 算法车辆V通过路边单位RSU,收到KGC发送的部分私钥消息元组(Ri,0i,k）)后，首先计算双方的协商密钥,=H(PID,R,Ppub),Ti,3=Hi(PID,X,Ppub,x;Ppub);然后通过对密信息进行解密计算Dms(o.)得到DpID,PID,k车辆V对收到的部分私钥消息进行验证，当且仅当以下条件都成立时，车辆V相信收到的部分私钥DpID,是有效的。否则，车辆V拒绝该部分私钥，并重新向KGC请求部分私钥。(1)等式DpID,P=R,+,Ppub成立,其中;=H;(PID,R,Ppub)。(2)Tk=Tk。（3）t k,在有效

42、期内。车辆V,设置其完整私钥为SK,=(xi，D p ID），并对其秘密保存。6）Se t Pu b li c K e y 算法车辆V,运行SetPublicKey算法，设置其完整公钥为 PK;=(Xi,R,)。7)Sign算法有伪身份PID,的车辆V对消息m,进行签名。车辆V随机选择 u;Z，计算 U,=u,P，Yi=H 4(PID,Pp u b,X,R,U,m),0,=Hs(PID,Ppub,X,R,y),0,=(0,DpID,+yixi+ui)modq故有伪身份PID,的车辆V对消息m,的签名为;=(U,8)。车辆V将整个消息一签名元组(mi,PID)发送给附近的 RSU;8）Si g

43、n Ve r i f y 算法签名验证者对消息签名组(mi,o,PID)进行验证，其验证过程如下。首先,计算哈希值，;=H;(PID,R,Ppub),i=Ha(PID,Ppub,X,R,U,m,),=H;(PID,Ppub,X,R,y);然后验证等式8,P=0(R,+,Ppub)+X,+U,是否成立，若成立，则接受该签名；否则，拒绝。正确性证明如下所示。0,P=(0,DpID,+Yix;+u,)P=(0,n+s0,;+yix+u,)P=0,R,+0,Ppub+;X,+U,=0,(R,+,Ppub)+;X,+U;9）A g g 算法：当路边单位RSU,接收到n个不同车辆V生成的签名信息;=(U,

44、8)(in)后，首先计算T=H(SY+S,Y+S,Y)，其中Y是目标应用服务195NETINFOSECURITY专题论文2024年第2 期器AS的公钥；然后计算S=tZS,来聚合多个签名，则=(8,Ui,U2,U,)就是伪身份，即公钥为(PIDi,PK,)(1-)m，其中qpia和qps分别是可查询身份和部分私钥提取查询的最大次数。证明：给定公开参数params=(q,P,G,e,g，给定一个ECDLP实例(P,Q=sP)，假设有一个多项式敌手A，构造另一个多项式时间算法B通过与A 交互解决ECDLP。1）初始化阶段令Q为B的系统公钥，发送公开参数params=(q,P,G,e,g给敌手A，设

45、3个哈希函数H3、H 4、H s 为随机预言机。2）查询阶段（1）部分私钥提取查询B维护一个列表Le，其中包含元组(PID,DpID,R)，列表初始为空。当收到一个伪身份PID,的查询时，如果PID,已存在于列表L。中，那么 B返回相应的DpID,给 A；否则，B先调用H;查询获得相应的。如果PID;PID,B随机选取DpID,EZ，计算R,=DpID,P-O；如果PID,=PID,B令 DpID,=1并中止游戏。B将DpID,发送给敌手A，并将元组(PID,DpID,R)添加至列表L。中。(2)H;查询B维护一个列表LHs，其中包含元组(PIDi,），列表初始为空。当收到敌手A关于(PID,

46、R)的 H,查询时，B与列表Lu,交互。如果(PID,R)已在列表LHs中，则B返回相应的哈希值,给敌手A；否则，B选择随机值,eZ，在列表L中查找(PID,R)，并令=Hs(PID,R,Ppub），将,发送给敌手At，并将元组(PID,)添加至列表Lu,中。（3）秘密值查询B维护一个列表Lk，包含元组(PID,PK;,x)，列表初始为空，A对伪身份PID,进行查询。如果B找到了匹配的元组(PID,PK;,x），则B返回相应的x;给敌手A；否则，随机选择x,Z，计算X,=x,P，在列表L中查找(PID,R），并令PK,=(X,R)。B将x发送给敌手A并qpidq pid196NETINFOSE

47、CURITY2024年第2 期物联网安全添加(PID,PK,x)至列表L中。此外，当伪身份PID,的公钥被替换且A 没有提供相应的x,时，不输出秘密值。（4）公钥查询B维护一个列表Lk，其中包含元组(PID,PK,x),列表初始为空。如果PID,已存在于列表L中，则B返回相应的PK,给敌手A；否则，B随机选择x;EZ，计算X,=x,P，在列表L中查找(PID,R)，并令PK,=(X,R)。随后，B发送PK,给敌手A，并将元组(PID,PK,x)添加至列表L中。（5）公钥替换查询如果A对(PID,PK)进行查询时，其中 PK=(X,R)，B查询列表L并将相应的(PID,PK,x)替换为(PID,

48、PK/,x),此时x,=L。(6)H4查询B维护一个列表LHa，其中包含(PID,U,PK,ui，mi;Yi),列表初始为空。当A,对(PID,m;)进行查询时，B首先检查列表LH,中是否包含PID,的元组(PID,U,PKi,mi,y)，如果存在,则返回相应的哈希值给敌手A；否则，如果PID;+PID,B随机选择u;eZ,计算 U,=u;P,Yi=H4(PID,Ppub,X,Ri,Ui,m;)；如果PID,=PID，B随机选择keZ，计算U,=kP-0,(R,+,Ppub)-yiXiy=H(PID,Ppub,X,R,U,m),将发送给敌手A，并将元组(PID,U,PK,ui,mi,yi)添加

49、至列表LH中。(7)H;查询B维护一个列表LHs，其中包含(PID,Ppub,PK,mi,)，列表初始为空。当A对(PID,m;)进行查询时，B首先检查列表LHs中是否包含PID,的元组(PID,Ppub,PKi,mi,）；如果存在，则返回相应的哈希值,给敌手Ar；否则，查询列表LH获得对伪身份PID,的哈希值yi，计算0,=Hs(PID,Ppub,X,R,y)，将0,发送给敌手A，并将元组(PID,Ppub,PK,m;,0)添加至列表LH,中。(8）签名查询B维护一个列表L，其中包含(PID;,)，列表初始为空。当敌手A对（PID,mi）进行签名查询时，B首先检查列表L。中是否包含PID,的

50、元组(PIDi,）；如果存在,则返回签名o,给敌手A；否则，分别查询列表Lk、Le、LH和LH,获取相关参数。如果PID,+PID且x+工，B计算,=(0,DpD,+yix;+u,)modq,并令0,=(U,0)为所查询的签名；如果PID,=PID或x=1，B令S,=k，并令;=(U,8)为敌手A查询的签名。B将签名,发送给敌手A，并将元组(PID;,o)添加至列表L3）伪造阶段假设敌手A成功伪造一个（PIDi，m）的有效签名=(U,s)，如果PID;+PID，B终止游戏；如果PID;=PID*，且敌手A未对消息m进行签名查询，B查询相应列表获取参数；根据分叉引理，B用相同的随机预言机对敌手A